操作系統(tǒng)識(shí)別技術(shù)-楊文虎

1、第 2 頁(yè)了解操作系統(tǒng)識(shí)別的原理掌握幾種識(shí)別操作系統(tǒng)的方法新課導(dǎo)入第 3 頁(yè)基本概念 操作系統(tǒng)的識(shí)別有很多種方法，大多跟TCP/IP協(xié)議有關(guān)。操作系統(tǒng)對(duì)TCP/IP的實(shí)現(xiàn)，都是嚴(yán)格遵從RFC標(biāo)準(zhǔn)的，問(wèn)題RFC標(biāo)準(zhǔn)僅描述了TCP/IP的基本要求，并沒(méi)有對(duì)所有內(nèi)容形成統(tǒng)一的行業(yè)標(biāo)準(zhǔn)，于是各操作系統(tǒng)廠商在實(shí)現(xiàn)TCP/IP協(xié)議棧的時(shí)候，或多或少的保留了一些獨(dú)特的痕跡，很多人把這種痕跡形象地成為“操作系統(tǒng)指紋”。第 4 頁(yè)基本概念主動(dòng)識(shí)別技術(shù)被動(dòng)識(shí)別技術(shù)主動(dòng)識(shí)別是指主動(dòng)往目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，并對(duì)響應(yīng)數(shù)據(jù)進(jìn)行分析的過(guò)程。最典型的分析方法是TTL分析。第 5 頁(yè)基本概念主動(dòng)識(shí)別技術(shù)被動(dòng)識(shí)別技術(shù)從不主動(dòng)發(fā)送數(shù)

2、據(jù)包，只是被動(dòng)的捕獲遠(yuǎn)程主機(jī)返回的包，來(lái)分析其OS類(lèi)型版本第 6 頁(yè)主動(dòng)指紋識(shí)別TTL是 Time To Live的縮寫(xiě)，是IPv4數(shù)據(jù)包頭部的一個(gè)字段。是P數(shù)據(jù)包可以轉(zhuǎn)發(fā)的最大跳數(shù)，每轉(zhuǎn)1跳TTL值減1。TTL是由發(fā)送主機(jī)設(shè)置的，不同操作系統(tǒng)有不同的TTL初始值。第 7 頁(yè)主動(dòng)指紋識(shí)別使用命令非常簡(jiǎn)單，在啟動(dòng)nmap時(shí)，增加-O參數(shù)，就可以啟動(dòng)系統(tǒng)識(shí)別功能。第 8 頁(yè)主動(dòng)指紋識(shí)別使用命令非常簡(jiǎn)單，在啟動(dòng)nmap時(shí)，增加-O參數(shù)，就可以啟動(dòng)系統(tǒng)識(shí)別功能。第 9 頁(yè)主動(dòng)指紋識(shí)別 FIN探測(cè) ISN采樣探測(cè) Dont Fragment位探測(cè) TCP初始窗口的大小探測(cè) ACK值探測(cè)等 ICMP出錯(cuò)消

3、息抑制 ICMP出錯(cuò)消息回射完整性 第 10 頁(yè)主動(dòng)指紋識(shí)別向目標(biāo)主機(jī)上的指定端口發(fā)送FIN分組，根據(jù)是否返回?cái)?shù)據(jù)包，判定操作系統(tǒng)類(lèi)型根據(jù)建立TCP連接時(shí)，目標(biāo)主機(jī)默認(rèn)的TCP初始窗口大小，判定操作系統(tǒng)類(lèi)型第 11 頁(yè)被動(dòng)指紋識(shí)別 通用性更強(qiáng) 準(zhǔn)確性更低 TTL值判斷 TCP窗口大小判斷 DF標(biāo)志位判斷 TOS操作系統(tǒng)服務(wù)類(lèi)型分析第 12 頁(yè)被動(dòng)指紋識(shí)別通過(guò)主機(jī)提供的各種服務(wù) 進(jìn)行分析，也稱(chēng)為“Banner識(shí)別技術(shù)”。第 13 頁(yè)被動(dòng)指紋識(shí)別人工判定主要依據(jù)經(jīng)驗(yàn)，比如目標(biāo)服務(wù)器上運(yùn)行了一個(gè)ASP.net語(yǔ)言編寫(xiě)的網(wǎng)站，那么可以推斷目標(biāo)主機(jī)的操作系統(tǒng)是Windows server系列的操作系統(tǒng)，而且版本會(huì)在2003之后。第 14 頁(yè)防護(hù)策略 可以部署防火墻和主侵防御系統(tǒng)，確保外部主機(jī)無(wú)法直接掃描