被动式TCP_IP指纹识别操作系统.pdfVIP

11￡。“F*x 。，4‘}…目4‘4。‘‘，“‘”_’，_”}r●_。_H1…’_…’T*，r‘…n。，’q‘1。，^* 实用第一j。?智慧密集 。；。。，。，，。…．，，．，。。，一。。≯ 被动式TCP／IP指纹识别操作系统 美沩爱李 月 擒要誉同揉译系统对TCP／IP协议族中秘可选矮谈置不同，组合这些可选项可以表征 0S类型，这必与操作系统识别有荚的项被称为操作系统TCP／IP协议栈指纹。本 文通过VC++6．0Winsock网络编程简单实现操作系统类型的被动式识别，即在 不主动向霹称主氟发送数据包秘蘸捉下探测英OS类型。 关键词被动式操作系统识别，TCP／IP协议栈，Winsock (7)|)：短筵遴缆设定标恚 一、15I鞘 (8)T：时间戳(TIMESTAMP) 操作系统类型是入侵或安全检测所需的重要信息，是分析 (9)F：SYN和ACK位设定标志 潺潺季羹系统安全戆基磁。搡俸系统识别豹基本方法蠢：遥避 《10)LEN：IP头装凌 Ping的返回值(田L)、通过应用程序旗标(盍辩m、TEL- NET)、Web查点+综合分析、利用TCP／IP协i义栈指纹。不 很多工具都实现了操作系统指纹识别。著名的NMap通过 同的操作系统在处理网络数据时的方式不完全楣嗣，有各骞的 发送各静预定的数据镪蓟目标主枧，然后捕获麟标的响应惫， 特点，这罄特点就是绦僚系统“稽纹”。常用的潮绦谤谈是稼 根据响应包截获出捂纹信息，再邋过数据库查询得到搡作系统 准的，但实践中。各种操作系统对协议栈的实现存在细微差 类型。假这种“积极性”的工具谯保护检测者上并不太令人满 别，这些差异称作协议栈“指纹”。TCP／IP是网络通信中使 惩缳广戆势议，对TCP／IP豹蛰谈援攒纹送嚣强缡、葱缍，霹系统藏怒使矮宅戆数摄痒。 以有效地获取操作系统类型。 二、系统设计 按探测方式划分，协议栈指纹识别技术可以分为主动识别 和被动识男《。主动协议梭指纹识别是搬，搽测时主动向墨标系 统发送探浏包，根据目舔主税回应的数据包来翔澍对方撬豹攥 作系统。主动探测需要主动向目标主机发送数据包，但这些数 据包在网络流量中比较懑人注目，因为正常使用网络不会按这 获，从截获的数据包中提取操作系统指纹，然后在指纹数据麾 撵豹颓痔爨瑷包，困梵魄较容器蔹入{l受鏊涎系统麓获。为了戆 孛送嚣敬耗，透纛；孥蠲操作系统涎类鍪秘叛本僚惫。 秘地识别远程OS，就霈骤使用被动协议栈指纹识别，即不向 目标系统发送数据包，只是被动地探测网络上的通信数据，然 Windows 嚣分粳这些撼获刭的包辩属性，著将褥刭的毙较络聚与羼性瘁 式。在零系统申选鹰WindowsSockets贩始套按字。 比较以翔龋远程OS类型。 1．蠢定义数据绪构 TCP／IP栈指纹表现在数据包头的标志字段中，本系统提 (1)IP头 取的指纹项主要有： typedefstructAP{ (】)WWWW：TCP窗口大，j、 UCHAR秘drLen：4： ／$毒位善都畏褒女， UCHARVersion：4： ／{4位lP版教号{／