基于VC++平台的远程主机操作系统探测技术的应用与开发.docVIP

基于VC++平台的远程主机操作系统探测技术的应用与开发 摘要：介绍了基于VC++平台的远程主机操作系统探测技术的应用，对常见的远程主机操作系统探测技术作了较为详尽的论述,比较了这些技术的特点和不足，最后借鉴和吸取nmap思想，通过理解吸收，采用动态链接库技术对一个破解系统中的远程主机操作系统探测模块的进行开发。 论文关键词：反求工程,逆向,网络安全 近年来，远程操作系统探测技术被越来越多的运用于网络安全评估软件的开发，它作为一种网络扫描器的应用技术，需要能够避免错误的探测结果 、避免影响（或被影响于）防火墙和入侵检测系统，并且可以允许大范围的网络扫描。而不管其作为网络安全评估工具或者是网络漏洞扫描器，都需要利用网络通信协议工作的特点来实现获取远程主机操作系统的信息。本文是通过对基于VC++平台的网络服务口令破解系统开发中所采用的远程操作系统探测技术应用提出自己的想法。 2.探测工具中使用的远程主机操作系统探测技术 在很多探测工具中是通过获取标识信息技术来获得某些服务的标识信息，这往往是通过对二进制文件的收集和分析来实现的。另外还可以通过TCP分段（标准/非标准）的响应分析，这是依靠不同操作系统对特定分段的不同反应来区分的。比较流行的工具有Fyodor的NMAP和Savage的QueSO, 这些大都使用了来自于这种技术的变种。还有的工具是使用了ICMP响应分析技术，它通过发送UPD或ICMP的请求报文，然后分析各种ICMP应答。Ofir Arkin的X-Probe就是使用的这种技术，在通常情况下，X-Probe工作的比较好，但是在防火墙阻塞某些协议时，结果就不太令人满意了。 3.远程主机操作系统探测原理及扫描方式的比较 远程主机操作系统探测可以根据各个操作系统在TCP/IP协议栈实现上的不同特点，采用功能测试方法，通过研究其对各种探测的响应，进而识别远程目标主机运行的操作系统。根据采集信息的方式，可以分为主动扫描和被动扫描两种方式。 1)主动扫描：采用向目标系统发送构造的特殊包并监控其应答的方式来识别操作系统类型。优缺点：主动扫描具有速度快、可靠性高等优点，但同样严重依赖于目标系统网络拓扑结构和过滤规则。 2)被动扫描：通过Sniffer收集数据包，再对数据包的不同特征（TCP Window-size、 IP TTL、IP TOS、DF位等参数）进行分析，来识别操作系统。优缺点：被动扫描基本不具备攻击特征，具有很好的隐蔽性，但其实现严格依赖扫描主机所的网络拓扑结构；和主动探测相比较，具有速度慢、可靠性不高等缺点。 本软件设计是采用主动扫描技术，调用动态链接库，通过TCP/IP堆栈特征探测远程操作系统。 4.几种相关技术的具体实现和分析 1）FIN探测：通过发送一个FIN数据包（或任何未设置ACK或SYN标记位的数据包）到一个打开的端口，并等待回应。RFC793定义的标准行为是不响应，但诸如MS Windows、BSDi、CISCO、HP/UX、MVS和IRIX等操作系统会回应一个RESET包。大多数的探测器都使用了这项技术。 2）BOGUS（伪造）标记位探测：Queso是第一个使用这种更聪明技术的探测器。它原理是在一个SYN数据包TCP头中设置未定义的TCP标记 （64或128）。低于2.0.35版本的Linux内核会在回应包中保持这个标记，而其它操作系统好象都没有这个问题。不过，有些操作系统 当接收到一个SYN+BOGUS数据包时会复位连接。所以这种方法能够比较有效地识别出操作系统。 3）TCP ISN取样：其原理是通过在操作系统对连接请求的回应中寻找TCP连接初始化序列号的特征。目前可以区分的类别有传统的64K（旧UNIX系统使用）、随机增加（新版本的Solaris、IRIX、FreeBSD、DigitalUNIX、Cray和其它许多系统使用）、真正随机（Linux2.0.*及更高版本、OpenVMS和新版本的AIX等操作系统使用）等。Windows平台（还有其它一些平台）使用基于时间方式产生的ISN会随着时间的变化而有着相对固定的增长。不必说，最容易受到攻击的当然是老式的64K方式。而最受我们喜爱的当然是固定ISN！确实有些机器总是使用相同的ISN，如某些3Com集线器（使用0x83）和Apple LaserWriter打印机（使用0xC7001）。根据计算ISN的变化、最大公约数和其它一些有迹可循的规律，还可以将这些类别分得更细、更准确。 4）无碎片标记位：许多操作系统逐渐开始在它们发送的数据包中设置IP不分片（无碎片）位。这对于提高传输性能有好处（虽然有时它很讨厌-- 这也是为什么nmap不对Solaris系统进行碎片探测的原