网络协议栈指纹原理论文

摘要远程探测计算机系统的OS（操作系统）类型、版本号等信息，是黑客入侵行为的重要步骤，也是网络安全中的一种重要的技术。在探测技术中，有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别，这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践，并提出了防止指纹探测的方法。

关键词远程OS探测协议栈指纹TCP/IP协议

1引言

探测和识别一个计算机系统在运行什么OS是黑客入侵的重要步骤。如果不知道目标系统在运行什么OS，就很难在目标系统上执行操作，也无法判断是否存在安全漏洞，更谈不上攻击。

从管理和防范的角度来说，如果能减少被探测时泄漏的信息，就减少了黑客入侵行为的信息来源，使其入侵行为变得相当困难。因此，研究这方面的技术，对于提高系统的安全性和抵抗入侵的能力具有重要的意义。

2简单的OS探测技术

在早期，黑客经常采用一些简单的探测方法来获取目标系统的信息。如通过telnet标题，ftp的标题和STAT命令，通过HTTP服务程序，DNS，SNMP等都可以得到很多有用信息。

但是，在长期的入侵和防入侵的斗争中，通过简单的手段即可获得的信息越来越少了。管理员努力地减少通过网络泄漏的信息，有时还修改OS的代码，给出虚假的信息。在这种情况下，简单的方法已经很难奏效了,因此出现了通过网络协议栈指纹来识别OS的技术。

3网络协议栈指纹原理

常用的网络协议是标准的，因而从理论上讲各个操作系统的协议栈应该是相同的。但是，在实践中，各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。

对TCP协议族来说，这些差异通常表现在数据包头的标志字段中。如windowsize、ACK序号、TTL等的不同取值。通过对这些差别进行归纳和总结，可以比较准确地识别出远程系统的OS类型。

由于Internet广泛使用TCP/IP协议族，因此下面的讨论主要围绕TCP/IP来进行。

4网络协议栈指纹构成

下面列出了不同OS的网络协议栈的差异，这些差异可作为协议栈指纹识别的依据。

1)TTL

TTL：TimeToLive，即数据包的“存活时间”，表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。

常见操作系统的TTL值：

Windows9x/NT/2000Intel128

DigitalUnix4.0Alpha60

Linux2.2.xIntel64

Netware4.11Intel128

AIX4.3.xIBM/RS600060

Cisco12.02514255

Solaris8Intel/Sparc64

…

2)DF位

DF（不分段）位识别：不同OS对DF位有不同的处理方式，有些OS设置DF位，有些不设置DF位；还有一些OS在特定场合设置DF位，在其它场合不设置DF位。

3)WindowSize

WindowSize：TCP接收（发送）窗口大小。它决定了接收信息的机器在收到多少数据包后发送ACK包。

特定操作系统的缺省WindowSize基本是常数，例如，AIX用0x3F25，Windows、OpenBSD、FreeBSD用0x402E。

一般地，UNIX的WindowSize较大。MSWindows，路由器，交换机等的较小。

4)ACK序号

不同的OS处理ACK序号时是不同的。如果发送一个FIN|PSH|URG的数据包到一个关闭的TCP端口，大多数OS会把回应ACK包的序号设置为发送的包的初始序号，而Windows和一些打印机则会发送序号为初始序号加1的ACK包。

5)ICMP地址屏蔽请求

对于ICMP地址屏蔽请求，有些OS会产生相应的应答，有些则不会。会产生应答的系统有OpenVMS,MSWindows,SUNSolaris等。在这些产生应答的系统中，对分片ICMP地址屏蔽请求的应答又存在差别，可以做进一步的区分。

6)对FIN包的响应

发送一个只有FIN标志位的TCP数据包给一个打开的端口，Linux等系统不响应；有些系统，例如MSWindows,CISCO,HP/UX等，发回一个RESET。

7)虚假标记的SYN包

在SYN包的TCP头里设置一个未定义的TCP标记，目标系统在响应时，有的会保持这个标记，有的不保持。还有一些系统在收到这样的包的时候会复位连接。

8)ISN(初始化序列号)

不同的OS在选择TCPISN时采用不同的方法。一些UNIX系统采用传统的64K递增方法，较新的Solaris,IRIX,FreeBSD,DigitalUnix,Cray等系统采用随机增量的方法；Linux2.0,OpenVMS,AIX等系统采用真随机方法。Windows系统采用一种时间相关的模型。还有一些系统使用常数。如，3Com集线器使用0x803，AppleLaserWriter打印机使用0xC7001。

9)ICMP错误信息

在发送ICMP错误信息时，不同的OS有不同的行为。RFC1812建议限制各种错误信息的发送率。有的OS做了限制，而有的没做。

10)ICMP消息引用

RFC规定ICMP错误消息可以引用一部分引起错误的源消息。

在处理端口不可达消息时，大多数OS送回IP请求头外加8字节。Solaris送回的稍多，Linux更多。

有些OS会把引起错误消息的头做一些改动再发回来。例如，FreeBSD，OpenBSD，ULTRIX，VAXen等会改变头的ID。

这种方法功能很强，甚至可以在目标主机没有打开任何监听端口的情况下就识别出Linux和Solaris。

11)TOS(服务类型)

对于ICMP端口不可达消息，送回包的服务类型(TOS)值也是有差别的。大多数OS是0，而Linux是0xc0。

12)分段重组处理

在做IP包的分段重组时，不同OS的处理方式不同。有些OS会用新IP段覆盖旧的IP段，而有些会用旧的IP段覆盖新的IP段。

13)MSS(最大分段尺寸)

不同的OS有不同的缺省MSS值，对不同的MSS值的回应也不同。如，给Linux发送一个MSS值很小的包，它一般会把这个值原封不动地返回；其它的系统会返回不同的值。

14)SYNFlood限度

在处理SYNFlood的时候，不同的OS有不同的特点。如果短时间内收到很多的伪造SYN包，一些OS会停止接受新的连接。有的系统支持扩展的方式来防止SYNflood。

15)主机使用的端口

一些OS会开放特殊的端口，比如：WINDOWS的137、139,WIN2K的445；一些网络设备，如入侵检测系统、防火墙等也开放自己特殊的端口。

16)Telnet选项指纹

建立Telnet会话时，Socket连接完成后，会收到telnet守候程序发送的一系列telnet选项信息。不同OS有不同的Telnet选项排列顺序。

17)Http指纹

执行Http协议时,不同的WebServer存在差异。而从WebServer往往可以判断OS类型。WebServer的差异体现在如下方面：

1：基本Http请求

处理HEAD/Http/1.0这样的请求时，不同系统返回信息基本相同，但存在细节差别。如，Apache返回的头信息里的Server和Date项的排序和其它的服务器不同。

2：DELETE请求

对于DELETE/Http/1.0这样的非法请求，Apache响应"405MethodNotAllowed",IIS响应"403Forbidden",Netscape响应"401Unauthorized"。

3：非法Http协议版本请求

对于GET/Http/3.0这样的请求,Apache响应"400BadRequest",IIS忽略这种请求,响应信息是OK,Netscape响应"505HttpVersionNotSupported"。

4：不正确规则协议请求

对不规则协议的请求,Apache忽视不规则的协议并返回200"OK",IIS响应"400BadRequest",Netscape几乎不返回Http头信息。

18)打印机服务程序指纹

RFC1179规定了请求打印服务时须遵循的协议。

在实践中，如果打印请求符合RFC1179的格式，不同OS表现行为相同。但当打印请求不符合RFC1179的格式时，不同OS就会体现出差别。如对一个非法格式的请求，Solaris这样回应：

Reply:Invalidprotocolrequest(77):xxxxxx

而AIX系统这样回应：

Reply:0781-201ill-formedFROMaddress.

大多数OS会给出不同的响应信息。个别OS会给出长度为0的回应。

对于Windows，则是通过专有的SMB协议（ServerMessageBlockProtocol）来实现打印机的共享。

19)网络协议栈指纹实践

在实践中，网络协议栈指纹方法通常这样应用：总结各种操作系统网络协议栈的上述细微差异，形成一个指纹数据库。在探测一个系统的时候，通过网络和目标系统进行交互，或者侦听目标系统发往网络的数据包，收集其网络协议栈的行为特点，然后以操作系统指纹数据库为参考，对收集的信息进行分析，从而得出目标系统运行何种OS的结论。

20)远程OS探测的防护方法

由于协议栈指纹方法是建立在操作系统底层程序差别的基础上的，所以要彻底防护指纹识别是很难的。但是有一些方法可以减少信息泄漏并干扰指纹识别的结果，在很大程度上提高系统的安全性。

21)检测和拦截

对于主动向主机发送数据包的协议栈指纹识别，可以使用IDS检测到异常包或异常的行为，从而加以记录和拦截。

对于通过Sniffer来进行的协议栈指纹识别，这种方法是无效的。

22)修改参数

一些操作系统的协议栈参数，如缺省WINDOW、MSS、MTU等值，是可以修改的。在Solaris和Linux操作系统下，很多TCP/IP协议栈的参数可以通过系统配置程序来修改。在WINDOWS系统中，可以通过对注册表的修改来配置一些协议栈参数。通过修改这些可设置参数的值，可以给指纹识别造成干扰，从而减少真实信息的泄漏。

23)修改程序

修改参数可以给指纹识别造成一些干扰，但是对于一些协议栈的行为特征，比如数据包序列号的生成方式，是无法通过参数来修改的。

对于这些行为特征，可以通过修改系统底层程序来实现，但是这么做通常需要付出较高的开发成本，并可能降低一些网络功能。

在实践中，可以综合上述几种防护方法，来达到比较好的安全性。

参考文献

[1]Fyodor,《X-RemoteICMPBasedOSFingerprintingTechniques》,PhrackMagazineVolume54

[2]Fyodor《RemoteOSdetectionviaTCP/IPStackFingerPrinting》,PhrackMagazineVolume8

[3]LanceSpitzner《PassiveFingerprinting》,/focus/ids/articles/pfinger.html

[4]RFC1179:LinePrinterDaemonProtocol,NetworkPrintingWorkingGroup,L.McLaughlinIII,1990