基于包重传延时的主机操作系统探测技术的设计及实现.pdfVIP

第26卷第4期 小型微型计算机系统 V01．26No．4 2005年4月 MINI—MICR0SYSTEMS Apr．2005 基于包重传延时的主机操作系统探测技术的设计与实现 濮 青 (中国科学技术大学计算机系，安徽合肥230052)· E—mail lpu—qing@21cn．com 摘 要：主机操作系统探测对于网络安全有重要的意义，它通过分析不同操作系统TCP／IP协议堆栈对数据包的不同响应来 判断其性质．分析了现有的主机操作系统探测工具所面临的问题，并提出一种基于包重传延时的主机操作系统探测的思想及其 实现． 关键词：特征探测；重传延时；操作系统 中圈分类号：TP393．08 文献标识码：A 文章编号：1000—1220(2005)04一0585一04 and ofa RetransmissionTimeoutBasedOS DesignImplementationDatagrams Technique PU Qing (UniⅢ妇∥Scf∞cP＆nf^”甜D删矿吼抽Ⅱ，H唬i 230052，c^i”巴) situa“onin the Hosts has network Abstract：Remoteoperationsystemfingerprintingimportant securityevaluation．Byexploit fromthe stacksofeachhost0Sitcan the ofthemeachother．This differentfeedbacksTCP／IP types paperanalyse distinguish amoreefficientand a the of OS tools，andthen todetect host problems fingerprinting presents powerfulway targetop— existing eration theTCP RetransmissionTimeoutmechanism． systembyexploit Datagrams Keywords：“ngerprinting；retransmissiontimeout；operationsystem 1 引 言 段得来的相关数据与信息并不能确保其准确性与可靠性，在 安全意识很强的网络环境中，网管会利用以上公开信息来迷 因特网的快速发展使得网络安全问题越来越引起人们的 惑或欺骗攻击者． 关注和重视．目前采用防火墙与入侵检测系统来确保网络不 因此最常用的主机特征探测工具还是各种功能强大的扫 受攻击已成为通常的作法，不过其最大的不足还不是其防范 描器，作为目标探测的最主要手段，同时也是获取目标信息的 能力有限与自身脆弱性的问题，而在于其设计目标是针对已 最主要来源，扫描器扮演了及其重要的角色．根据入侵过程的 经发生或正在进行的网络攻击或滥用所采取的防护与检测， 不同阶段有不同探测目的的扫描活动； 并不涉及到对系统自身安全漏洞