终端识别技术白皮书.docxVIP

终端指纹识别技术白皮书关键词：终端识别、DHCP指纹摘 要：本文介绍终端指纹识别技术的产生背景、技术要点以及在BYOD解决方案中的应用。缩略语：缩略语英文全称含义BYODBring Your Own Device用户所有设备UAMUser?Access?Manager用户接入管理OUIOrganizatinally Unique Identifier企业设备识别IDDHCPDynamic Host Configuration Protocol动态主机配置协议目 录1 概述32 终端识别常用技术32.1 主动式设备指纹识别32.2 被动式设备指纹识别42.2.1 TTL （Time To Live）。52.2.2 TCP指纹分析62.2.3 SMB指纹分析72.2.4 DHCP指纹分析82.2.5 HTTP指纹分析92.2.6 MAC OUI分析103 UAM系统终端识别技术实现113.1 UAM系统终端识别流程图113.2 DHCP 插件133.3 DNS插件134 UAM终端指纹配置实例134.1 厂商配置144.2 终端类型配置154.3 操作系统配置154.4 DHCP指纹配置164.5 Http User Agent指纹配置184.6 MAC OUI指纹配置205 参考文献21概述当前，随着智能终端的快速推广，IT消费化的潮流越来越明显，越来越多的企业员工希望使用移动设备访问公司邮件、企业内网等资源，同时希望使用自己的移动设备进行工作。BYOD（Bring Your Own Device）作为IT消费化的一个重要表现形式，对原有的企业网络接入管理产生了严重冲击。出于安全考虑，企业IT管理员需要根据不同的用户终端类型，定义不同的网络访问策略。如何高效、准确识别终端类型，则成为每一个BYOD解决方案提供商必须解决的问题。所谓识别终端类型，关键是识别终端的设备类型、操作系统类型和制造商信息。就好象每一个人都会拥有一个独特的指纹一样，每一种终端也会具备自己独特的特性。而这些独特的特性，会在终端设备同外界通讯的行为中体现出来。通过跟踪终端通信行为，分析其特性，从而判断终端类型信息的技术，称为终端指纹识别技术。终端识别常用技术理论上，所有终端设备的通信层都是按照网络协议的规范进行设计的，其所有的通讯特征应该是与操作系统、设备无关。然而由于定义、阅读和理解这些网络规范的不同角度，或者是程序开发人员对于具体的异常、特别的场景的处理实现方式的不同，各个终端设备在网络上的行为确实有些不一样。这些不一样的独特特征就是设备的指纹，他们观察到并分析处理。这些独特特征，业界称之为设备的指纹。目前设备指纹识别技术主要分为两个技术流派，分别被称为主动式与被动式。主动式设备指纹识别主动式意为，需要主动向被鉴定的设备发送一定数量的特别组合的数据包，根据对方的反应来确定对方的设备型号、操作系统类型甚至版本号。这一技术常常被应用到网络安全领域，当黑客或安全专家需要对远程系统进行渗透时，常常以设备指纹识别的动作作为开场白。这一领域的著名工具有 Nmap 和 Xprobe 等。尤其值得一提的是 Nmap， Fyodor@ 制作了这个集网络扫描、指纹识别于一体的便捷工具，几乎成为黑客的制式装备。而另外一位著名的以色列黑客 Ofir Arkin 撰写的 Xprobe 则 以主动识别操作系统指纹为主要设计目标，增加了更多的识别方法，并且提出了主动式ICMP的识别方法 (通过发送几个icmp包来确定对方系统)。Nmap/Xprobe 中运用了诸如 FIN探测、错误TCP标志位探测、TCP 起始序列号采样、IPID采样、TCP 时间戳扩展、TCP 起始窗口大小、ACK 值、ICMP 错误信息测试、碎片处理现象等多种技术组合进行探测和鉴别。主动式设备指纹识别技术由于通常限于在网络安全/黑客领域进行使用。在BYOD领域，被动式指纹识别技术更为常用。被动式设备指纹识别被动式的技术体系坚持在不发送任何数据的情况下就达到识别设备指纹的目的。这样的实现机制可以在对网络不产生任何影响的情况下，收集更加详尽的信息，以便提供给网络管理与安全管理之用。被动式指纹鉴别技术由于不发送任何探测尝试，因此必须通过数据包捕获的方式实现。通常而言目前的被动式指纹鉴别基于以下技术方向：默认TTL值TCP 被动分析（尤其针对三向握手和 RST包）TCP 滑动窗口尺寸窗口滑动特性选择性ACK的应用TCP 时间戳TCP NOP/EOL选项DHCP过程分析SMB Logon分析NBNS分析CDP 分析SAP 分析SNMP分析uPNP分析http分析ICMP分析其他应用层协议分析TTL （Time To Live）。TTL 是 IP 包头中定义的一个字节。这一字节用来控制数据包不会被在网络上过度传输，每当数据包经过