对操作系统指纹的研究与探讨.pdfVIP

一 ● ●肌 ， 摘 要：本文对操作系统指纹进行了深入的研究与探讨。阐明了操作系统指纹的存在，介绍了若干指纹识别技术和操作 系统指纹正反两方面的利用。即进行网络拓扑发现和被黑客所利用。并探讨了操作系统指纹的消除方法。最后还 指出了操作系统指纹和防火墙自身安全性的关系，给出了一种自身安全性高的防火墙系统的设计思想。 关键词：操作系统指纹利用消除防火墙 一 一 51 郭锡泉 张会汀方山(广州暨南大学电子系 0632) 型的UNIX系统，它们的TCP／JP协议栈是各不 1引言 的端口并等待回应。正确的RFC793(最新的】 不同的网络操作系统在处理网络信息时 相同的，对各种类型的数据包的响应也有所 中规定系统将不予响应．但许多有问题的实 是不完全相同的，存在着各自的特点，这些 不同。而再精明的管理员都不太可能去修改 特点就称为系统的“指纹”。通过识别这些 系统底层的网络的堆栈参数，这样，借助一 指纹就可以实现网络系统的识别。操作系统 个好的扫描软件(如NMAP)，我们常常很这些问题的存在．使得可以区分一部分操作 指纹的存在是一把双刃剑。一方面可以利用 轻易就确定了网络上某台主机的操作系统类 系统。 它进行网络拓扑的主动发现，辅助管理人员 型和版本号。 3．2是否设置分段位 对整个网络的监控、管理，提高效率和管理 现在，随着ADS啪普及，以及大量校园 许多操作系统开始设置不分段位，从而增 水平：另一方面，操作系统指纹泄漏了自己 网用户的存在，种种因素都促使计算机在线 进系统的一些性能，但也促进了操作系统的 的“身份”——操作系统类型和版本号，为 时间的延长。另一方面，黑客软件很容易获 识别。 网络安全埋下了极大的隐患。对于一个黑客 取，各类扫描软件唾手可得，这意味着网络 3．3TCP初始窗口大小 来说，知道了网络上一台主机的操作系统类 上主机面临的安全风险越来越大。操作系统 这个方法简单地说是检查返回包的窗口 型和版本号，那么攻破这台主机只是时间上 指纹效应被不正当利用，由此引起的后果是 大小。有些操作系统可以简单地用这种方法 早一点或迟一点的问题!因此，研究和关注 极其严重的。 精确的识别。例如AlX使用的窗口大小为 操作系统指纹对从事计算机网络安全的工作 16165。 人员来说是不可忽视的问题，也很有必要性 3指纹识别技术 3．4ACK值 和迫切性。 利用操作系统指纹，需要掌握TCP／IP协 许多操作系统的ACK值是不标准的，带 议栈指纹的识别技术。目前常用的指纹识别 有自己的特征。 2操作系统指纹效应的存在 技术包括： 3．5ICMP出错信息的频率 3．1FlN探测 8]2，限制了出 作为网络操作系统，究其实质，系统指 一些操作系统按照RFCl 纹实际上来源于TCP／lP协议栈。不同的操作 这种技术的方法是发送一个FIN包(或任错lCMP包的发送频率。