（计算机软件与理论专业论文）基于ndis的antixprobe2实现技术研究.pdf

基于n d i s 的a n t i x p r o b e 2 实现技术研究 马君亮 摘要网络中各种物理设施都需要相应操作系统的支持。操作系统类型作为一 个重要的网络特征值，对于攻击者和网络管理者都非常有价值。一般情况下，具 体的系统漏洞都与具体的操作系统类型、或具体操作系统的版本相关。因此对于 攻击者而言，如果探测到攻击目标的具体操作系统类型及其版本号，就可能知道 攻击目标存在的漏洞，进而利用漏洞实现其攻击、入侵的目的。另一方面，对于 网络管理者，可以通过探测确定网络设施的操作系统类型及其版本号，进而确定 网络设施是否有漏洞威胁。尽管每种操作系统在设计、实现时，都试图尽量避免 各种己知的系统漏洞及缺陷，期望做到尽善尽美，毫无瑕疵。但事实证明，没有 一种操作系统能够确保没有潜在的漏洞。在不同操作系统的使用过程中，都可能 发现各种各样的漏洞，若攻击者利用这些漏洞，就可能会对网络设施造成致命的 攻击。因此，本文对防御基于具体操作系统类型漏洞的攻击进行了研究。 文主要讨论如何通过网络伪装来防御操作系统的真正类型及其版本被探 测，进而避免遭受针对具体操作系统类型漏洞的攻击。在分析w i n d o w s2 0 0 0 网络 体系结构和操作系统指纹探测工具x p r o b e 2 工作原理的基础上，基于n d i s 中间层 驱动设计并实现防御操作系统指纹探测的工具a n t i x p r o b e 2 ，具体工作如下： 对操作探测的类型进行了分类，介绍了国内外操作系统伪装的相关研究，根 据参考文献【1 】对操作系统指纹和操作系统被动伪装的的相关定义，以及对x p r o b e 2 的探测原理和实现的技术细节的深入研究分析，提出a n t i - x p r o b e 2 的设计原型。 考虑到a n t i x p r o b e 2 具体实现的重要环节在于对网络数据包的截获，对 a n t i - x p r o b e 2 开发运行所依赖的平台w i n d o w s2 0 0 0 的网络体系结构进行分析，对 w i n d o w s 2 0 0 0 之上的各种数据包截获机制进行了研究和比较，提出基于n d i s 中间 层的数据包截获技术，通过对数据包伪装来防御x p r o b e 2 对主机操作系统指纹的 探测。在此基础上，设计了a n t i x p r o b e 2 的总体框架，a n t i x p r o b e 2 设计分为事 件分离模块和伪装应答两大模块。事件分离模块对进出的数据包进行判断分离， 将可被x p r o b e 2 利用的探测数据包转发到伪装模块，其余数据包正常转发；伪装 应答模块对数据包进行伪装应答处理并发送。本文最后给出了a n t i x p r o b e 2 的具 体实现细节，通过x p r o b e 2 对a n t i x p m b e 2 系统的的实际探测，对其有效性进行 了测试，达到了满意的效果，证明了a n t i x p r o b e 2 设计框架的合理性和可行性。 关键词：网络安全：n d i s ；操作系统指纹；a n t i x p o r b e 2 r e s e a r c ho nt e c h n o l o g yo fa n t i - x p r o b e 2 ，b a s e do nn d i s a b s t r a c ti nt h en e t w o r ke a c hp h y s i c a lf a c i l i t ya l ln e e d st h es u p p o r to f c o r r e s p o n d i n go s ( o p e r a t i n gs y s t e m ) t h et y p eo fo p e r a t i n gs y s t e mh a sa l li m p o r t a n t n e t w o r kc h a r a c t e r i s t i cv a l u e ，w i t c hi si m p o r t a n tb o t ht ot h ea t t a c k e ra n dt h en e t w o r k a d m i n i s t r a t o r g e n e r a l l ys p e a k i n g ，s p e c i f i cs y s t e mv u l n e r a b i l i t yh a sr e l a t i o nt ot h e s p e c i f i ct y p eo fo so ri t ss p e c i f i ce d i t i o n i fa t t a c k e rd e t e c t e dt h et y p eo re d i t i o no fo s o nt h et a r g e t , h em a ya t t a c ki tb yt h es y s t e r nv u l n e r a b i l i t yo fi t o nt h eo t h e rh a n d ，t h e n e t w o r ka d m i n i s t r a t o rm a k es u r ei ft h en e t w o r k i n gh a sv u l n e r a b i l i t yb yd e t e c t i n gt h e n e t w o r k i n g e v e r yt y p eo fo sd e s i g n e dt o b ep e r f e c t ，t h e yt r yt oa v o i da l lt h e v u l n e r a b i l i t i e s ，b u tt h e yc a n ti n s u r et h es y s t e mi ss t r o n ge n o u g l lt op r e v e n ta t t a c k i n g i n f a c t ，e v e r yo sh a sl o t so fv u l n e r a b i l i t i e s t h e s ev u h e r a b i l i t i e sm a yc a u s ef a t a ls t r i k e t h ed i s s e r t a t i o nr e s e a r c ho nd e f e n d i n gt h ea t t a c kw h i c hb a s e do nt h ev u l n e r a b i l i t yo f s p e c i f i co s h o wt od e f e n dd e t e c t i n go ft h et y p ea n dv e m i o nn u m b e ro fo p e r a t i n gs y s t e mb y n e t w o r km a s q u e r a d ea n da v o i dt h ea t t a c ko fo p c r a t i n gs y s t e mh o l ei sr e s e a r c h e di nt h i s d i s s e r t a t i o n b a s e do nt h ea n a l y s i so fs y s t e m sa r c h i t e c t u r eo fw i n d o w s2 0 0 0a n dt h e p r i n c i p l eo fx p r o b e 2 ，ak i n do ft o o lu s e dt od e t e c tf i n g e r p r i n to fo p e r a t i n gs y s t e m s ， a n f i - x p r o b e 2 ，ak i n go ft o o lu s e dt od e f e n dt h ed e t e c t i o no fo p e r a t i n gs y s t e m s f i n g e r p r i n t ，i sd e s i g n e da n di m p l e m e n t e db a s e do nn d i si n t e r m e d i a t ed r i v e r r e s e a r c h o ft h i st h e s i sc a nb cs u m m a r i z e da sf o l l o w s ： f i r s t ，t h et y p eo fd e t e c t i o ni sc l a s s i f i e d ，r e s e a r c ho fo p e r a t i n gs y s t e mm a s q u e r a d e b o t hh e r ea n da b r o a di si n t r o d u c e d ，f i n g e r p r i n ta n dp a s s i v em a s q u e r a d eo fo p e r a t i n g s y s t e m sa r ed e f i n e db a s e do nr e f e r e n c e l l ja n dt h ep r o t ot y p eo fa n t i x p r o b e 2i s p r o p o s e d s e c o n d ，i n d e p t hr e s e a r c ha n da n a l y s eo fd e t e c t i o np r i n c i p l ea n dt e c h n i q u eo f x p r o b e 2a r em a d e x p r o b e 2a n a l y z e sf e a t u r eo fi c m pd a t ap a c k e ta c c o r d i n g t oa c t i v e d e t e c t i o nd a t ap a c k e tb yf u z z ym a t r i xa n do b t a i n st y p eo fr e m o t eo p e r a t i n gs y s t e m a tl a s t ，b e c a u s ec a p t u r eo fn e t w o r kd a t ap a c k e ti sa ni m p o r t a n tc o m p o n e n t so f a n t i x p r o b e 2 ，c a p t u r em e c h a n i s mo fn e t w o r kd a t ap a c k e ti sr e s e a r c h e di n d e t a i la n d a n t i - x p r o b e 2 ，t h et o o lo fd e f e n d i n gd e t e c t i o no fo p e r a t i n gs y s t e m sf i n g e r p r i n t ，i s d e s i g n e d w i n d o w s2 0 0 0i sa n t i x p r o b e 2 sd e v e l o p m e n tp l a t f o r m s y s t e m sa r c h i t e c t u r e o fw i n d o w s2 0 0 0i sa n a l y z e d a l lk i n d so fc a p t u r em e c h a n i s mo fn e t w o r kd a t ap a c k e t b a s e do nw i n d o w s2 0 0 0a r er e s e a r c h e da n dc o m p a r e d t e c h n i q u eo fc a p t u r i n gd a t a i i p a c k e tb a s e do nn d i si n t e r m e d i a t e d r i v e ri sp r o p o s e da n dd e t e c t i o no fo p e r a t i n g s y s t e mf i n g e r p r i n ti sd e f e n d e db ym a s q u e r a d eo fd a t ap a c k e t a c c o r d i n gt ot h e s e ，t h e o v e r a l lf r a m e w o r ko fa n t i - x p r o b e 2i sd e s i g n e d a n t i x p r o b e 2c a l lb ed i v i d e di n t ot w o m o d u l e s ：t h ee v e n ts e p a r a t o rm o d u l ea n dp a c k e t sc a m o u f l a g em o d u l e i n a n d - o u t p a c k e t sa r ej u d g e da n ds e p a r a t e di ne v e n ts e p a r a t o rm o d u l e t h ed e t e c t i o n d a t ap a c k e ti s t r a n s m i t t e dt oc a m o u f l a g em o d u l ea n dt h eo t h e r sa r et r a n s m i t t e da su s u a l t h ep a c k e t s c a m o u f l a g em o d u l ef u l f i l lm o d i f i c a t i o nt or e s p o n s ep a c k e t s t h e t e s tr e s u l td i s p l a y st h a t a n t i x p r o b e 2d e f e n s et h ed e t e c t i o no fx p r o b e 2s u c c e s s f u l l y t h er e s u l t sp r o v et h e r a t i o n a l i t ya n df e a s i b i l i t yo f a n t i x p r o b e 2 sd e s i g ni k a m e w o r k k e yw o r d s ：n e t w o r ks e c u r i t y ；n d i s ；o sf i n g e r p r i n t i n g ；a n t i x p r o b e 2 1 1 1 学位论文独创性声明 y 9 0 0 7 7 g 零入声臻涨呈交貔学整论文是我在导舞鹣耀罢下遴纷貔磷究工豫及取餐豹臻 究残果。尽我所知，除文中已经注明弓l 用的内容外，论文中不包含其他个人融经 发表或撰写过的研究成果，也不包含为获得陕西师范大学或其它教育机构的学位 或证书而使用过的材料。对本文的研究傲出黧要贡献的个人和集体，均已在文中 终了臻确说鞠斧表示谢意。 赭签名；墨星塞 学位论文使用授权声明 本人同意研究生农校攻读学位期间论文工作的知识产权单位属陕麟师范大学。 本人僳证毕蛾离校后，发表本论文或使用本论文成聚时署名单位仍为陕西师范大 学。学校毒彀僳蜜学健论文势蠢国家差管部门或茭它捂定撰擒送交谂文魏彀等敝 和纸质版；有权将学佼论文用于非赢制目的灼少量复制并允许论文进入学校图书 馆、院系资料蹇被查阅；有权将学位论文的内容编入有关数据库进行检索；有权 将学位论文的标题和摘要汇编出版。 终者签名；墨差童嚣蘩丝! ! 竺 1 1 研究背景 第一章绪论 本文以国家自然基金“网络伪装协同安全模型研究”( 编号：6 0 5 0 3 0 0 8 ) 中的 “操作系统伪装”为背景开展研究工作。 2 0 0 6 年1 月1 7 日，中国互连网络信息中心( c n n i c ) 在北京发布了第1 7 次中国互联网络发展状况统计报告【2 l o 报告结果显示，截至2 0 0 5 年1 2 月3 1 日， 我国平均每周使用互联网至少1 小时的公民达到1 1 1 0 0 万人。与上年同期调查结果 相比，我国网民总人数一年增加了1 7 0 0 万人，增长率为1 8 1 ，如图1 - 1 所示， 同1 9 9 7 年1 0 月第一次调查结果6 2 万网民人数相比，现在的网民人数已是当初的 1 7 9 0 倍。 图1 - 1 历年网民人数统计 i n t e m e t i n t r a n e t 的迅速发展和网络社会化的到来，网络已无所不在地影响着社 会、政治、经济、文化、军事和人们的日常生活等各个方面。信息全球化已成为 人类发展的大趋势，以网络方式获取信息和交流信息已成为信息社会不可或缺的 部分。 人们在享受网络带来的便利的同时，由于网络所具有的开放式体系机构，在 帮助人们更便捷的获取信息的同时，也带来了巨大的安全隐患。目前，网络与信 息安全问题也成为人们关注和研究的焦点【3 4 6 ，”。美国卡内基梅隆大学( c a r n e g i e m e l l o nu n i v e r s i t y ) c e r t ( c o m p u t e re m e r g e n c yr e s p o n s et e a m ) 发布的1 9 8 8 2 0 0 3 年信息安全事故统计报告【8 j 中称，1 9 8 8 年报告的安全事故仅有6 起，1 9 9 0 年增长 到2 5 2 起，2 0 0 0 年已经增加2 1 ，7 5 6 起，2 0 0 1 年5 2 ，6 5 8 起，2 0 0 2 年增加到8 2 ，0 9 4 起，而2 0 0 3 年则高达1 3 7 , 5 2 9 起。可见网络安全事故呈迅速增长的态势。 网络中各种物理设施需要相应操作系统的支持。在不同操作系统的使用过程 中，都可能发现各种各样的漏洞，若攻击者利用这些漏洞，可能会对网络设施造 成致命的攻击。 由于数据包包头在网络中传输时的透明性，传统安全措施( 如防火墙、i d s 等) 不足以保护数据包网络特征( 数据包报头信息) 的机密性，形式多样的网络 探测1 9 , 1 0 , 1 1 , 1 2 和扫描技术 1 3 , 1 4 , 1 5 】，使攻击者容易得到各种网络特征值，大多数网络 探测攻击( 包括蠕虫病毒【”1 、d o s d d o s t l 7 ”】、垃圾邮件【1 9 , 2 0 等) 都是利用系统漏 洞，具体的系统漏洞与特定的操作系统相关，每种操作系统在设计、实现时，都 试图尽量避免各种已知的系统漏洞及缺陷，期望做到尽善尽美，毫无瑕疵。但事 实证明，没有种操作系统能够确保没有潜在的漏洞。攻击者通过分析网络特征 很容易得到攻击目标主机的操作系统类型，若攻击者利用目标操作系统的漏洞， 可能会对网络设施造成致命的攻击。基于软件的漏洞或弱点的攻击在网络攻击中 占有非常大的比重，据c e r r 列统计，2 0 0 5 年上半年其收到漏洞报告2 8 7 4 个，平 均每天超过1 5 个。而软件的漏洞或弱点又与具体的操作系统类型有很大的关系 s , 2 q 。因此攻击者在攻击前，经常采用一些探测工具，如x p r o b e 2 1 2 , 2 2 1 等，来确定 攻击目标的操作系统类型。为此，本文在分析操作系统指纹工具x p m b e 2 实现机 制的基础上，以伪装学为基础，提出通过伪装的方法来实现主机操作系统指纹的 隐藏，并提出了基于n d i s 的防御x p r o b e 2 探测的a n t i x 口r o b e 2 的实现技术。 1 2 国内外研究现状 通过伪装来实现主机操作系统指纹隐藏的相关研究国外开展的比较多，主要 集中在h o n e y p o t 和h o n e y n e t 等欺骗系统的研究，如n i e l sp r o v o s 设计并实现的类 似与网络被动伪装的h o n e y d 矧，它主要通过模拟虚拟网络和网络服务来诱骗攻击 者对其进行攻击，对攻击方法进行研究。 通过对中文期刊网等进行检索，国内在操作系统指纹隐藏方面的研究较少。 1 3 本研究的现实意义 网络安全技术已成为全球信息化过程中急需解决的一个重要问题，也成为国 内外相关研究领域科学研究的焦点。现有的一些成熟的一些网络安全技术，如防 火墙技术，i d s 等都不能确保被保护主机固若金汤，不会被攻击着攻破。操作系统 类型作为一个重要的网络特征值，对于攻击者和网络管理者都非常有价值。一般 情况下，具体的系统漏洞都与具体的操作系统类型、或具体操作系统的版本相关。 因此对于攻击者而言，如果探测到攻击目标的具体操作系统类型及其版本号，就 可能知道攻击目标存在的漏洞，进而利用漏洞实现其攻击、入侵的目的。本文利 用伪装的思想，通过对主机操作系统指纹进行伪装来防御攻击者可能的攻击行为， 为保证主机的安全提供一种新的解决途径。 w i n d o w s 是使用最为广泛的操作系统，针对w i n d o w s 的攻击类型和数量也是 最多的，所以研究基于w i n d o w s 平台的系统指纹伪装具有更多地实际应用价值。 本文设计并实现了个基于w i n d o w s 平台的主机操作系统指纹伪装系统，并为今 后的相关研究打好基础。 1 4 本文的研究内容和目标 随着网络技术的飞速发展，网络安全问题日益突出，本文旨在通过对主机操 作系统指纹进行伪装来实现主机的安全。 本文首先分析了操作系统指纹探测工具x p r o b e 2 的设计思想和工作原理。通 过对w i n d o w s 操作系统网络功能和w i n d o w s 平台下数据包拦截技术的深入研究比 较，选择在n d i s 中间层驱动程序中对操作系统指纹进行伪装，这样能够截获所有 经过网卡的数据包，避免在用户态无法得到所有数据包的缺点，而且在内核驱动 级别进行数据包的修改，速度快，效率高j 并且拥有最高的特权级，对所有的上 层应用程序均保持透明。给出了a n t i x p r o b e 2 的总体设计框架，并对其中的事件 分离模块和伪装应答模块的设计进行重点的阐述，对其中的数据包处理流程给出 了详细描述。最后基于w i n d o w s 应用平台，对a n t i x p r o b c 2 中间层驱动程序需要 注意的问题以及开发细节进行详细的说明。 本文的研究目标是通过编写n d i s 中间层驱动程序的方法实现一种基于 w i n d o w s 平台供个人使用的操作系统指纹伪装方案。使其能够防御x p r o b c 2 对目 标主机操作系统指纹的探测，为防御其它的操作系统指纹探测工具提供一些思路。 1 5 结构与内容组织 本文共分为七章，组织机构如下： 第一章介绍了本文的研究背景、国内外的研究现状以及现实意义。 第二章首先探讨了操作系统指纹探测的相关技术，对操作系统的被动伪装技 术进行了研究，并给出了针对x p r o b e 2 的被动伪装算法。 第三章介绍了操作系统指纹探测工具x p r o b e 2 的探测原理和工作机制。 第四章研究了w i n d o w s2 0 0 0 网络体系结构、对基于w i n d o w s 平台的数据包 拦截技术进行了分析和讨论，详细介绍了n d i s 的功能和体系结构以及中间层驱动 程序的工作原理和机制。通过分析和比较确定基于n d i s 中间层驱动程序来实现 a n t i x p r o b e 2 。 第五章介绍了基于n d i si m d 的a n t i x p r o b e 2 总体设计框架，事件分离模块 和伪装应答模块中数据包的处理流程等。 第六章详细阐述基于n d i s 中间层驱动的a n t i - x p r o b e 2 的实现细节，包括开 发环境的介绍，主要数据结构的介绍，数据包的处理流程以及调试安装和对系统 的测试结果等。 第七章结束语。总结了本次研究和开发工作的经验和成果，指出需要进一步 努力完善的的研究方向，列出了一些不成熟的想法和思考。 第二章操作系统伪装 网络中各种物理设施都需要相应操作系统的支持。虽然每种操作系统在设计、 实现时，都试图尽量避免各种已知的系统漏洞及缺陷，期望做到尽善尽美，毫无 瑕疵。但事实证明，没有一种操作系统能够确保没有潜在的漏洞。在操作系统的 使用过程中，都可能发现各种各样的漏洞，若这些漏洞被攻击者利用，就可能会 对网络设施造成致命的攻击。 操作系统类型作为个重要的网络特征值，对于攻击者和网络管理者都非常 有价值。一般情况下，具体的系统漏洞都与具体的操作系统类型或具体操作系统 的版本相关，对于攻击者而言，如果探测到攻击目标的具体操作系统类型及其版 本号，就知道攻击目标可能存在的漏洞，进而利用漏洞实现其攻击、入侵的目的： 另一方面，对于网络管理者，通过探测确定网络设施的操作系统类型及其版本号， 进而确定网络设旌是否有漏洞威胁，为预防网络攻击做准备。本章先对操作系统 探测方法进行介绍。 2 1 操作系统探测类型 在如何探测攻击目标的操作系统类型方面，国内外已有比较多地研究1 9 a o , n a 2 l ， 而且提供了一些非常实用的探测工具。根据探测内容及方式的不同，操作系统类 型探测技术分为两大类，一类是基于网络服务的探测，另一类是基于网络协议栈 的探测。 2 1 1 基于网络服务的探测 基于网络服务的探测主要包括： ( 1 ) 对网络服务标识( b a n n e r ) 进行分析，如t e l n e t 和n 甲，进行远程登录时， 经常会显示网络服务程序的名字、版本号，以及所运行的操作系统类型等信息。 ( 2 ) 通过一些网络服务的命令来探测，对于隐藏了网络服务标识的服务，还可 以通过一些命令获得操作系统的类型等信息。如登录f r p 服务后，执行s y s t 可 以返回n 甲服务程序所运行操作系统的类型；通过s n m p 搜索d n s 服务中的 h 1 n f o 可以获得相关主机的些描述信息，其中包括操作系统类型。 ( 3 ) 通过网络服务程序来确定所运行的操作系统的类型。有些网络服务程序只 能运行在特定的操作系统之上，如i l s 只运行在w i n d o w s 操作系统之上；运行在 不同操作系统之上的网络服务在非正常请求下返回值是不同的：如对于 d e l e t e h t t p 1 0 这样的非法请求，a p a c h e 响应“4 0 5m e t h o dn o ta l l o w e d ”，i i s 响应“4 0 3f o r b i d d e n ”，n e t s c a p e 响应“4 0 1u n a u t h o r i z e d ”；对一个不符合打印服 务请求r f c l l 7 9 说明的格式的非法请求，s o l a r i s 回应r e p l y ：i n v a l i d p r o t o c o l r e q u e s t ( 7 刀：x x x x x x ”，a i x 回e 妒r e p l y ：0 7 8 1 2 0 1i l l - f o r m e df r o ma d d r e s s ”，而w i n d o w s 则是通过专有的s m b 协议( s e r v e rm e s s a g eb l o c kp r o t o c 0 1 ) 来实现打印机的共享。 2 1 2 基于网络协议栈的探测 基于网络协议栈的探测又称为基于操作系统指纹【2 4 , 2 5 , 2 6 0 7 1 ( o sf i n g e r p r i n t i n g ) 的探测。根据探测方式的不同分为两大类，一类是主动探测，通过发送特定或特 殊构造的数据包给攻击目标，并分析攻击目标的行为以及返回数据包的网络特征 值，进而得出攻击目标操作系统的类型，比较典型的主动探测工具有n m a p 1 0 l ， x p r o b e 2 1 l , i 2 l ，r i n g l 2 8 】等；另一类是被动探测，通过“嗅探”并分析攻击目标进 行正常网络会话数据包的网络特征值，进而得出攻击目标操作系统的类型，比较 典型的被动探测工具有p o f l 2 9 1 等。 关于操作系统指纹将在2 , 3 节进行详细讨论，下面只对几个比较典型的操作系 统类型探测工具的实现技术进行简单介绍。 ( 1 ) n m a pn m a p 是一个功能全面的网络扫描探测软件，其中一个重要的功 能是对攻击目标的操作系统类型进行主动探测。n m a p 探测操作系统的类型时所利 用的网络特征值主要包括：t c p 初始化序列号i s n 模式，不分段标识d f ，a c k 确认序列号模式，接收窗口的大小，t c p 报头标志f l a g s 内容及选项内容，不可达 u d p 数据包的响应数据包内容。 ( 2 ) x p r o b e 2x p r o b e 2 通过发送u d p 数据包到攻击目标的关闭端口来触发 i c m p 端口不可达消息，依靠与一个签名数据库的模糊匹配以及合理的推测来确定 远程操作系统的类型。x p r o b e 2 所利用的网络特征值主要包括：口总长度，讲i d ， i p 报头校验和准确与否，u d p 报头校验和( 在u d p 数据包中) 正确与否，t o s 的值， d f 位的值，t t l 的值，i c m p 错误信息引用( q u o t i n g ) 大小，i c m p 错误信息应答 完整性，i c m f 时间戳请求，i c m p 信息请求，i c m p 地址掩码请求。有关x p r o b e 2 的探测原理将在第三章进行详细介绍。 2 2 操作系统伪装的相关研究 目前关于操作系统伪装得相关的研究主要集中在如何防止对操作系统类型进 行主动探测方面。以下是对相关的研究的简单介绍。 ( 1 ) i p3 0 】基于内核中的 3 1 】实现，通过分析_ p e r s o n a l i t ，l i n u x 2 4n e t f i l t e r i n m a p 的七次探测得出不同操作系统的指纹特征，以指定的操作系统的指纹特征为模板 来修改当前操作系统t c p i p 协议栈的网络特征值，进而阻止攻击者探测到真正操 作系统的类型。修改的协议栈的特征主要包括：对于t c p 数据包报头，修改序列 号r e q 的产生方式与初始值、修改接收窗口的初始化值、以及对t c p 报头选项 内容进行修改；对于u d p 数据包，主要针对n m a p 探铡响应目标不可达i c m p 数 据包：对于口报头主要修改口报头的i d 号。i pp e r s o n a l i t y 能够欺骗n m a p 的 主动探测，但对于p o f 的被动探测，大多返回不可识别的操作系统类型。 i p _ p c r s o n a l i t y 只适用于l i n u x2 4 系列中的少数内核，需要对内核和i p t a b l e 进行补 丁，并重新编译内核。 ( 2 ) s t e a l t h l 3 2 】通过对l i m l x2 2 x 内核进行补丁实现。s t e a l t h 不模拟任何已知 的操作系统类型，只是简单丢弃匹配下面这些选项的数据包：t c p 报头的s y n 和 f i n 同时置位，或f i n 、p s h 和u r g 同时置位，或没有任何选项置位。s t e a l t h 的 这种简单的丢弃同样可以影响攻击者对操作系统类型判断的准确性。 ( 3 ) f i n g e r p d n tf u c k e r 例通过对l i n u x2 2 x 内核进行补丁实现。能够隐藏真正 操作系统的类型，而以其它操作系统的行为特征进行数据传输，缺省的操作系统 类型是v a x 系统，能够响应n m a p 的部分探测。 ( 4 ) i p l o g 【州是一个t c p i p 数据包的记录器，能够检测到x m a s 、f i n 、s y n 等扫描，并能够通过伪造一些响应数据包来欺骗n m a p 探测。 ( 5 ) b l a c k h o l e ”】是基于b s d 的解决方案，当有t c p 或u d p 连接到一个关 闭的端口时，能够控制系统的响应行为。o p e n b s d 的数据包过滤机制同样也可以 防止远程操作系统的探测。 上述阻止操作系统类型探测的技术都是基于u n i x 家族的操作系统，与特定 的操作系统内核有很紧密的联系，甚至需要重新编译内核，而且配置操作比较复 杂。而大多数计算机普通用户使用微软的w i n d o w s 系列操作系统，所以研究基于 w i n d o w s 平台的操作系统指纹防御技术更具实际的应用价值。 2 3 操作系统指纹 前面介绍的操作系统类型探测工具及其实现技术中，大多基于操作系统指纹 ( 即网络特征值) 。因此，分析并确定那些网络特征值可能会作为操作系统的指纹 特征，才能更好的实现操作系统伪装。 f y o d o r 给出了操作系统指纹的描述性说明【蛳，即r f c 对t c p i p 协议进行 了详细的说明，但对一些参数的选取、一些非正常请求对应的网络行为没有进行 明确说明，或对某些参数的选取或行为有多种可选方案，因而造成了不同类型操 作系统或同一类型但不同版本的操作系统在具体实现上的差异，这些差异性称为 操作系统的指纹( o sf i n g e r p r i n t i n g ) 。操作系统指纹如同人的指纹一样，可以用来 标识不同操作系统的类型。 为了更好的描述讨论操作系统伪装模型，参考文献【1 】中结合f y o d o r 对操作系 统指纹的描述性说明，给出了操作系统指纹模型的形式化描述及其性质。 定义3 1 ( 操作系统指纹) 设c 是所有网络特征值的集合，c ，0 是其 体操作系统类型的集合，投影函数r 定义在f 和o 之上，o 中每个具体的操作 系统类型基于f 的投影形成集合l ；仃，l ，；r ( e ，x l z d ，p 是为了探测操作系 统类型所需要的数据包的集合，d 是探测函数，d ：p ( p ) xf 。一0 ，即d 通过一组 数据包及集合t ，能够得出一个具体的操作系统类型。假设p 中的数据包足够多， 对于p ：p b ) ，存在o e o ，使d b ：，j _ 啦成立，则称为基于探测函数d 的 操作系统指纹集合，f 。中的元素r 。称为基于探测函数d 的操作系统指纹，分别记 为d j p 莉d fp 。 操作系统指纹具有下面两个重要的性质： ( 1 ) 探测函数d 决定指纹集合f 。及其指纹元素r 。； ( 2 ) 不同探测函数对应的，。可能不同，但对于同一操作系统类型，其中相同的 网络特征值的投影内容是相同的。 不同的探测函数d 所需要的网络特征值的集合可能是不同的，因而不同探测函 数d 的指纹集合只及其指纹元素，。是不同。 ，。是具体操作系统类型在网络特征值集合f 上通过投影函数r 产生，因此，。 也是一个集合，其中的元素是操作系统的网络特征值经投影函数r 产生。对于某一 具体的操作系统类型，其相应的网络特征值是确定的，经过投影函数r 后产生的投 影结果也是确定的。不同的探测函数d 所需要的网络特征值可能是不同的，因此不 同的探测函数d 对应的，。可能是不同的。但厂。中的单一元素对于同一操作系统类 型而言是相同的。r 。的不同可能只是体现在其中的元素个数不同或包含了不同的 网络特征值的投影。 已知的用于操作系统类型探测的网络特征值及探测方法主要包括： ( 1 ) f 1 n 标记探测发送一个不带a c k 或s y n 标记的数据包、或发送有f i n 标记但没有进行三次握手连接的数据包给一个打开的端口并等待回应，t c p 协议 在r f c7 9 3 中定义的行为是不响应。但事实上很多操作系统如m sw i n d o w s ，b s d ， c i s c o ， i p u x ，m v s 和m 等都会发回一个r e s e t 数据包。 ( 2 ) b o g u s 标记探测在三次握手连接过程中第一个数据包应该只有s y n 标 志置位，但如果在数据包中设置一个未定义的其它t c p 标记组合，l i n u x 操作系 统版本2 _ 0 3 5 之前是照样返回这个t c p 标记组合，而有些操作系统则是发回一个 r e s e t 数据包。 一 ( 3 ) t c p i s n 取样探测不同的操作系统可能采用不同的t c p 初始化序列模型， 如许多旧版本的u n i x 操作系统使用传统的6 4 k 模式；新版本的s o l a r i s 、i r i x 、 f r e e b s d 、d i 【g i t a l u n i x 、c r a y 等使用随机模式；w i n d o w s 使用与时间相关的模式， 而3 c o m 的集线器和a p p l el a s e r w r i t e r 打印机等设备，使用的是简单常数模式。 ( 4 ) 口i d 取样探测不同的操作系统对口报头i d 值的初始化和更新可能采用 不同的模式。大部分操作系统都使用递增的模式，而o p e n b s d 使用随机的模式： l i n u x 当口报头的d f ( d o n tf r a g m e n t ) 为没有被置位时，i d 值总是零；w i n d o w s 设置i d 值时不是网络字节顺序( n e t w o r kb y t eo r d e r ) ，因此每个数据包的i d 值相 差2 5 6 。 ( 5 ) t c p 时间戳探测对于t c p 报头选项中的时间戳，不同的操作系统可能采 用不同的递增频率，一般使用的是2 h z ，1 0 0 h z ，1 0 0 0 h z 或0 。 ( 6 ) d f 探测对于不分段d f ( d o n tf r a g m e n t ) 位的值，不同o s 对d f 位有不 同的处理方式，有些设置d f 位，有些不设置d f 位；还有一些操作系统在特定会 话中设置d f 位，在其它会话中不设置d f 位。 ( 7 ) t c p 初始化窗口探测不同的操作系统具有不同的初始化窗口值，一般情 况下是一常数，例如，a i x 是0 x 3 f 2 5 ；w i n d o w s 、o p e n b s d 、f r e e b s d 是0 x 4 0 2 e ： u n i x 的初始化窗口较大，m sw i n d o w s 等较小。 ( 8 ) a c k 值探测不同的操作系统处理a c k 序号时是不同的。如果发送一个 f i n p s h u r g 的数据包到一个关闭的t c p 端口，大多数操作系统会把相应响应数 据包的a c k 序号设置为接收到数据包的初始序号，而w i n d o w s 和一些打印机则 会把a c k 序号设置为初始序号加1 。 ， ( 9 ) i c m p 错误信息限制探测r f c l 8 1 2 中提出了建议限制各种错误信息的发 送频率。不同操作系统可能采取不同的限制措施，如l i n u x 限制目标不可达消息的 生成频率每4 秒钟8 0 个，违反该限制时将导致一个1 4 秒的处罚。探测者通过发 送一组探测数据包到一些随机的u d p 端口，并统计接收到不可达消息及其时间差 序列进行探测。 i c m p 消息引用探测r f c 规定i c m p 错误消息可以引用一部分引起错误的 源消息。对个端口不可达消息，几乎所有实现只送回球请求头外加8 字节。然 而，s o l a r i s 送回的稍多，而l i n u x 更多。 0 1 ) i c m p 错误消息回应完整性探测和i c m p 消息引用探测有些类似，不过完 整性探测主要是检测返回的源消息中，攻击目标主机更改了那些内容，如a i x 和 b s d i 返回一个i p 全长”域在2 0 字节处。一些b s d i ，f r e e b s d ，o p e n b s d ，u l t r i x 和v a x e n 会改变源坤的i d 值。t r l 改变而改变了校验和，a i x ，f r e e b s d 等返回 错误或值为0 的校验和。 服务类型t o s 探测对于i c m p 端口不可达消息，返回数据包的服务类型 ( t o s ) 值也是有差别的。大多数o s 是0 ，而l i n u x 是o x c 0 。 t c p 选项内容探测由于t c p 选项内容在t c p 协议中是可选的，一种操 作系统中支持的选项内容，在另一种操作系统中并不一定也支持，而且网络会话 双方中如果一方发出设置了选项的请求，另一方通过在响应数据包中也进行设置 与否表示是否支持，而且可以在一个数据包中一次对所有的选项进行全部探测。 因此t c p 选项内容是大多数探测攻击最关注的地方。 r r l 探测1 几( 啊m ct ol i v e ) 即数据包的“存活时间”，表示一个数据包 在被丢弃之前可以通过多少跃点( h o p ) 。不同操作系统类型的缺省n l 值都有差 异。如w i n d o w s9 x n t 2 0 0 0h l t e l 是1 2 8 ，d i g i t a lu n i x 4 0 a l p h a 是6 0 ，l i n l