学术.技术基于TCP/IP的操作系统的探测及防御技术研究张在峰，韩慧莲（中北大学，山西太原03005）摘要：基于TCP/IP协议栈指纹的操作系统探测技术在网络安全中日益突显出重要作用。黑客利用它实施攻击而Network&ComputerSecurity网络管理人员则可以发现网络漏洞，维护网络的安全。该文主要讨论了基于显式拥塞通告（ECN）检测、ICMP响应检测和基于UDP探测包检测的3种较新的，利用TCP/IP协议栈指纹进行操作系统识别的技术，这3种技术利用了TCP/IP协议族在实现上的差异完成操作系统的识别。最后编写对应的snort规则对这3种远程识别技术进行了检测，结果显示利用入侵检测系统检测这种探测包效果良好。关键词：操作系统探测；计算机网络；网络安全OperatingSystemDetectionBasedonTCP/IPandProtectiveTechnologyResearchZHANGZai-feng,HANHui-lian(NorthUniversityofChina,Taiyuan03005,P.R.China)Abstract:TheOperatingSystemdetectiontechnologywhichbasedonTCP/IPfingerprintisbecomingmoreandmoreimportantinthenetworksecurity.Hackersattackthetargetusingthistechnologywhileadministratorscanfindtheholeinthenetworkandkeepthenetworkwell.Inthispaper,wewilltalkfollowingthreetechnologies:basedonExplicitCongestionNotification(ECN),ICMPresponsetestandUDPprobetest.ThesetechnologiesusethedifferencebetweentheimplementoftheTCP/IPprotocolsuite.Atlastwedetectedtheseprobesusingthesnortwhichrulesarecustom-builtfortheseprobesbyourselves,andtheresultisverywell.Keywords:OperatingSystemProbe;ComputerNetwork;Networksecurity概述员定期地对网络进行操作系统探测，可以更加了解网络信.远程操作系统的探测息，发现非授权的主机或发现非授权的服务。（4）社会工在网络信息安全系统，尤其是在攻防和安全评估系统程学，某些坏分子利用已探测得到的信息实行欺骗，获取中，信息的收集和分析至关重要，而辨识远程操作系统则目标系统更重要的信息，这样的危害结果往往比被入侵系是其中不可或缺的一个组成部分。因为各种各样的漏洞依统更严重。附于不同的操作系统之上，只有精确地识别出远程操作系.2操作系统的探测技术统的类型，才能更有目的性地发掘漏洞和弱点所在，准确整体上，可以将远程操作系统探测分为两种：主动探地对目标主机进行评估[]。精确的探测远程操作系统的类测和被动探测。操作系统的探测方法分类如图所示。被型，对于攻击者来说也是至关重要的。探测到目标主机操动探测，是基于网络嗅探来发现网络上主机的操作系统。作系统的类型可以：（）判断目标主机的漏洞，对于打补这种方式隐秘性很强，几乎不会被任何网络上的主机发现，丁的操作系统，他们本身存在固有的漏洞可以利用。这但是效率和准确性较差，效果不理想。主动探测，是探测是很危险的。（2）充分利用漏洞，即使攻击者在目标主机主机发送各种各样的探测包到目标主机，然后分析从目标上发现了漏洞，如果知道了操作系统的版本的话，将更有主机返回的数据包，经过比对得出操作系统的类型。主动利于漏洞的开发。因为像缓冲区溢出、格式化字符串等许探测可能会被目标网络的防火墙或入侵检测系统发现，但多攻击方式，需要根据特定的操作系统和体系结构来定制是准确性和效率较高。本文主要研究基于TCP/IP协议shellcode。（3）对于网络管理有很重要的作用，网络管理栈的指纹查询和探测技术。8计算机安全2007.10学术.技术Network&ComputerSecurity各个系统的实现均不相同。（7）TCPRST中有没有附加数据，在RFC22明确允许在RST数据包中携带相关错误信息。（8）对ICMP中返回的IP头部信息是否与发送的IP头部信息