远程主机操作系统的探测原理、工具及防护.pdf

王蕊远程主机操作系统的揉测原理、工具及防护 远程主机操作系统的探测原理、工具及防护 王 蕊 (新疆轻工职业技术学院 乌鲁木齐830000) 摘 要 根据各种操作系统的堆栈特征，利用不同命令和工具可以远程主机操作系统的类型和版本等信息．并讨论如 何相应的防护措施。 关键词 操作系统 堆栈特征 探测程序 防护 下。1 A ‘r夕 ／、 众所周知，绝大多数安全漏洞都是针对特定操作系统的，所以，识别远程主机操作系统对于实现攻击非 常重要。例如，在端口扫描时发现端口80打开了，而且其服务器程序是有安全漏洞的WEBSERVER，这时你 只要找到相应的漏洞攻击程序就可以使服务器进程崩溃。依靠TCP／IP特征探测器，你可以知道主机正在运 行“WindowsNT”还是“Linux2．0．35”，然后使用相应的漏洞程序和shellcode代码。 目前，网上有许多黑客站点，可以从上面下载一些攻击工具，这些工具可能被不正当使用。有些人喜欢一 次对多台机器进行操作系统和端口扫描，例如，有人把Sun comsat服务器的一个安全漏洞公布了，他们就会 术，也不能说明他能够发现漏洞或修补漏洞。这样的攻击，或这样的攻击工具是什么原理，怎样实现的呢? 一、传统技术 利用堆栈特征探测操作系统是一种独特的方法。它会满足大多数的要求，这种方法可能是迄今为止最有 效的，例如； XXX．XXX．XXX．xxx logintelnet DigitalUNIX(xxx．XXX．XXX．xxx)(ttyp2) 这是我们经常可以看到的现象，现在的大多数系统都还带有这样的显示，而很多系统管理员们也没有意 识到应该去掉它们。从系统安全的角度来说，这是一种很愚蠢的行为。公开操作系统给蓄意攻击者提供了很 大的方便! 随着这个问题的严重性被广泛意识到，越来越多的系统管理员已经开始将这样的显示去掉，不同志泄露 重要的信息，通过这种方式获得操作系统类型和版本遇到了困难，变得不那么可行了。 即使关闭登录显示，许多应用程序仍然为访问者提供了这类信息。例如，当登录到某台FTP服务器时， 它在缺省的显示里告诉你操作系统的信息。然后当输人“SYST命令”时，它会提供更多的信息。许多其它的 应用程序也能提供类似信息。例如WEB服务器等。 二、几个操作系统特征探测程序 我们现在可以在网上找到一些获取主机操作系统的工具。 记位测度来区分“Linux、4．4BSD、Win95或Unknown操作系统主机”。 Rdmains 2．另一个程序是checkos，由Shok编写并于1c98年1月在“ConfidenceHighI．ssue#7上发表。 它采用相同的技术。 3．Suld也写了一个操作系统检测程序。程序名为SS，版本3．11能够检测12种不同操作系统类型。 ·96· 万方数据 《乌鲁木齐成人教育学院学报》(综合版) 2002年第1期 1,21-谈到的所有程序都具有同样的特点，那就是依靠很少的测试和响应来确定系统类型。我们希望知道 统特征技术。 三、特征探测方法的原理 目前有许多的协议栈特征探测技术。最简单的就是寻找各种操作系统间的不同并写出探测程序。当使用 的技术： 而其它操作系统好象都没有这个问题。不过，有些操作系统当接收到一个SYN+BOGUS数据包时会复位连 接。所以这种方法能够比较有效地识别出操作系统。 1：3，并等待回应。RFC793定义的标准行为是“不”响应，但诸如MS IRIX等操作系统会回应一个RESET包。大多数的探测器都使用了这项技术。 TCP ISN取样：其原理是通过在操