操作系统伪装技术的研究和实现.pdfVIP

许椿生等：操作系统伪装技术的研究与实现 操作系统伪装技术的研究与实现 许榕生 曹爱娟刘宝旭 (中国科学院高能物理研究所) 摘 要 信息战中的攻防对抗就和常规战争一样，知已知彼方能百战不殆。攻击者在 攻击目标系统之前，操作系统识别是入侵或安全检测需要收集的重要信息，是分析漏洞 和各种安全隐患的基础。只有确定了远程主机的操作系统类型、版本，才能对其安全状 况做进一步评估。为了有效阻断攻击者的攻击，本文提出了利用netfilter／iptab|es技术 实现操作系统的伪装。这种方法不需要修改TCP／IP协议栈，对内核的影响很小，保证 了系统运行的稳定性。通过为攻击者提供虚假的信息，我们能够成功欺骗攻击者，使其 攻击缺少针对性，从而，有效的保护了系统的安全性，并可对攻击者的攻击手段和动机 进行分析，获取相关信息，获得攻防斗争中的主动权。 关键词伪装操作系统netfilter iptables欺骗 1． 简介 随着信息技术的飞速发展，信息技术逐渐成为当前整个社会进步的基础动力。因此，信 息安全既是现代国家机关安全的一部分，也因为贯穿了各个领域而成为国家安全的基础之 一。对军方而言，现代战争已不再是数千年沿袭下来的“短兵相接”的战争局面，信息战等高 科技对抗的特征越来越明显，以信息安全对抗为主要特征的信息战，作为当前军事革命狂飙 的重心，开始登场。 在信息战中，最关键的环节就是攻防技术的应用，而在信息攻防的对抗过程中，对目标主 机进行扫描是一个不容忽视的重要手段和环节。完成一次成功的网络攻击，第一步就是要收 集目标节点的大量有效信息，然后通过分析得到所攻击目标的漏洞列表，进而有的放矢的进 行攻击行为，所以，如何实现操作系统的伪装，以迷惑敌人并让其陷入虚假信息的泥潭中，进 而分析和研究敌人的攻击手段和方法，做到防御攻击、获取攻击信息的目的，以达到知己知 彼、百战不殆的目的，成为当前攻防研究的一个热点问题。 本文提出的伪装操作系统的方法，可使攻击者很难搜集到目标主机操作系统的真实信 息，给他进一步的攻击造成迷惑和难度，进而起到保护目标主机的作用。另一方面，利用这种 方法可以拖延黑客的攻击时间，使之失去耐心。下面对相关技术及实现方式进行论述，供读 者参考。 2． 操作系统探测技术 2．1识别操作系统的方法 主机的端口及其运行的服务、主机上运行的程序种类及版本信息、TCP／IP堆栈实现的差 异等，凡是能标明某个版本操作系统与其他不同类型操作系统的差别均可作为识别远程主机 操作系统信息的手段。现有的探测方法主要有：①根据ICMP协议的应用得到1vrI。值；直接 961— 中国电子学会电子对抗分会第十三届学术年会论文集 当简单，但是不精确且不可靠，因为系统管理员可以手动修改TTI．值。②获取应用程序的旗 标；比如直线对主机进行telnet或者ftp连接，缺省情况下将得到远程主机返回的banner信 server的信息便F辅助确认远 息。telnet可以直接得到一些操作系统的信息，ftp将得到ftp 程操作系统。但是这种方法也有缺陷。banner信息可以很方便的被修改，因此我们不能过分 相信这些返回信息。③利用TCP／IP堆栈指纹鉴别：这个方法的准确性和可靠性都很高，因 为一般的管理员都不会修改操作系统底层工作着的网络协议栈参数。Queso口]，Nmap[“， eheckOS‘“等工具就是利用这个原理来识别远程操作系统的。④web查点+综合分析：若目 标主机是一台web主机，通过在web页面上收集的信息也可以粗略判断操作系统，比如ASP 的脚本那主机当然是windows系统。通常这个方法粗略而且不准确，现在也有不少web站 点用VMware等软件建造一个虚拟机环境，这给通过访问web来获取操作系统信息又：造成 了障碍。 2．2堆栈查询的技术细节 在本文的讨论中，我们主要针对利用操作系统特有的堆栈来查询的扫描器，因此首先介 绍堆栈查询的技术细节。 堆栈指纹识别(s