1、 摘要: 本文拟在提出一种可以区分 protocol 指纹识别的方法,用 帧 描述指纹识别代替建立 帧 系统获得主机信息与系统配对从而分辨出主机操作系统的类别。实验的结果表明这种方法能够有效的辨别操作系统,这一方法比其他例如 nmap 和 xprobe 的系统更为隐秘。 关键词 : 传输控制)协议 / 协议 指纹识别 操作系统 辨别远程主机的操作系统,这是一个很重要的领域。了解主机操作系统可以分析和获取一些信息,例如记忆管理, CPU 的类型。这些信息对于计算机网络的攻击与防御非常重要。 主要的辨别是通过 TCP/IP 指纹识别来完成的。几 乎所有的操作系统的定制他们自己的协议栈都通过以下的
2、RFC。这种情况导致一个实例,每个协议栈会有细节上的不同。这些不同的细节就是所知道的使辨别操作系统称为可能的指纹识别。 Nmap、 Queso 在传输层 里使用指纹 。他们 将 特殊数据包发送到目标 并 分析 返回的数据包 , 在指纹库中寻找配对的指纹 ,以便得到的结果。 指纹库中的信息受指定的探测信息的影响 .很难区分 类似的操作系统 (例如: windows98/2000/xp) Xprobe主要是利用 ICMP协议 ,这是 利用五种包来识别操作系统。它能够提供的 在所有可能的情况 下确实是操作系 统的概率 。主要不足是它过分依赖 ICMP 协议议定书。 SYNSCAN是在应用协议中与目标
3、主机联系时,使用的一些典型的指纹识别方法。指纹库对在这个领域有限制。 Ring, Ttbit 查明操作系统 所使用 TCP / IP 的 性能特点。因为这种 性能 受网络环境极大。其结果往往是 不完全确定的。 文献分析 资料 中的行动而获得的拦截(如一些同步的要求,一个封闭的端口如何响应连接请求) 。虽然这种方式 是有效 ,它 在 少数特定操作系统 区分 上述的各种系统, 都没有完整的描述指纹系统,引起他们进行分辨的主要是依靠部分的 TCP/IP。这篇文 章的目的就是要简绍一种新的方法来解决这些问题。 它们都被吓跑的方式来描述指纹的 OS integrallty ,造成诉讼程序的确定只能依靠部
4、分 TCP / IP 协议。本文提出了一种新的方法来解决这一问题:它 是指纹 操作系统, 是通过利用科技来获取一些信息, 获取的信息的一些技术,查明操作系统 。 第二章我们提出一些基本的方法的概念,第三章 用帧技术来提出描述和匹配协定指纹,第四章,是完成这种方法的算法,第五部分,利用实验来验证他的有效有效性并分析结果最后第六部分是总结全文,及未来的发展方向。 该程序是为了获取信息,提取 指纹和匹配的 指纹库里的记录 ,以便知道类型。本节确定 获取信息的方法,采取的做法和通信的状况 ,还 区分 指纹。这些工作 为下一节如何建立一个帧系统来识别指纹做好准备 要插入 “表 ”或 “数字 ” ,请粘贴
5、下文所述数据。所有表格和数字必须 使用 连续数字( 1 , 2 , 3等) ,并有一个标题放在下面的数字( “ FigCaption ” )或 在表的上面 ( “ FigTalbe ” )用 8pt字体和从 风格兰中 下拉菜单中的类别 中选择 指定的样式 “标题 ”。 在本文中,我们提出了一个方法,以确定操作系统的远程主机。该方法使用 帧 技术来 识 别 指纹,弥补探针和监控获得的信息和 从资料中摘取信息来与指纹库中 的 匹配 , 最后识别操作系统 。通过实验,该方法 与 nmap and xprobe. 相比, 能准确识别 远程的主机的操作系统。 在未来,我们计划为每个种操作系统 汇编 更多
6、的指纹,使算法(规则系统)将更加智能化,以提高 识别的 精度(准确性) 。 This paper present a method that classify the fingerprint of protocol(电脑之间通信与资料传送所遵守的规则) , use the frame to describe the fingerprint in order to create the frame system, get the information of host(主机) to match the system to identify the type of OS in remote hos
7、t. Result from experimental(实验性的) appears that this method can identify the OS effectively, the action of is more secretly than other systems such as nmap and xprobe ( x-probe: X 探针) . Key words: TCP/IP Fingerprint OS It is an important field that identify what OS in remote host. Mastering the OS ca
8、n analyse and acquire some information such as memory management、 the kind of CPU. These information is important for computer network attack and computer network defense. The main way to identify is through the TCP/IP fingerprint to finish. Nearly all kind of OS customize(定制) their owns protocol st
9、ack by following the RFC. This instance cause the fact that every protocol stack has some different details during implementing. These details are known as fingerprint which make it possible to identify the OS . Nmap、 Queso1 use the fingerprint in transport layer. They send the particular packets to
10、 the target and analyse the retured packets, matching the fingerprint in the fingerprint warehouse in order to get the result. The information in the warehouse is affected by the specified message for probing. It hardly to distinguish the similar OS (eg.windows98/2000/xp). Xprobe2 mainly use the ICM
11、P which make use of five kinds of packets in ICMP to identify OS. It can give the probability of all possible situation which maybe the indeed OS. The main shortage is it excessively depend on ICMP Protocol. SYNSCAN3 use some typical fields fingerprint to identify when it communicaties with target h
12、ost in application protocol. The warehouse of fingerprint have limited types of field. Ring 、 Ttbit56 identify the OS using the performance character of TCP/IP. Because this kind of character is affected by network environment greatly. The result is often not exactly. Literature7 analysis the action
13、 in messages which are acquired through interception(eg. The number of SYN request, a closed port how to response a connection request).Although this way is availability, it only distinguish a few given OS Above all the kinds of system, they all be scare of a way to describe the fingerprint of OS integrallty, which cause the proceeding of identify only depend on a part of TCP/IP . This paper propose a new method to resolve the problem: it uniformly the fingerprint of OS, acquire the
