基于NDIS的Anti-Xprobe2實(shí)現(xiàn)技術(shù)研究.pdf

1、網(wǎng)絡(luò)中各種物理設(shè)施都需要相應(yīng)操作系統(tǒng)的支持。操作系統(tǒng)類型作為一個(gè)重要的網(wǎng)絡(luò)特征值，對(duì)于攻擊者和網(wǎng)絡(luò)管理者都非常有價(jià)值。一般情況下，具體的系統(tǒng)漏洞都與具體的操作系統(tǒng)類型、或具體操作系統(tǒng)的版本相關(guān)。因此對(duì)于攻擊者而言，如果探測(cè)到攻擊目標(biāo)的具體操作系統(tǒng)類型及其版本號(hào)，就可能知道攻擊目標(biāo)存在的漏洞，進(jìn)而利用漏洞實(shí)現(xiàn)其攻擊、入侵的目的。另一方面，對(duì)于網(wǎng)絡(luò)管理者，可以通過探測(cè)確定網(wǎng)絡(luò)設(shè)施的操作系統(tǒng)類型及其版本號(hào)，進(jìn)而確定網(wǎng)絡(luò)設(shè)施是否有漏洞威脅。盡管

2、每種操作系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)時(shí)，都試圖盡量避免各種已知的系統(tǒng)漏洞及缺陷，期望做到盡善盡美，毫無瑕疵。但事實(shí)證明，沒有一種操作系統(tǒng)能夠確保沒有潛在的漏洞。在不同操作系統(tǒng)的使用過程中，都可能發(fā)現(xiàn)各種各樣的漏洞，若攻擊者利用這些漏洞，就可能會(huì)對(duì)網(wǎng)絡(luò)設(shè)施造成致命的出擊。因此，本文對(duì)防御基于具體操作系統(tǒng)類型漏洞的攻擊進(jìn)行了研究。 文主要討論如何通過網(wǎng)絡(luò)偽裝來防御操作系統(tǒng)的真正類型及其版本被探測(cè)，進(jìn)而避免遭受針對(duì)具體操作系統(tǒng)類型漏洞的攻擊。在分

3、析Windows2000網(wǎng)絡(luò)體系結(jié)構(gòu)和操作系統(tǒng)指紋探測(cè)工具Xprobe2工作原理的基礎(chǔ)上，基于NDIS中間層驅(qū)動(dòng)設(shè)計(jì)并實(shí)現(xiàn)防御操作系統(tǒng)指紋探測(cè)的工具Anti-Xprobe2，具體工作如下： 對(duì)操作探測(cè)的類型進(jìn)行了分類，介紹了國(guó)內(nèi)外操作系統(tǒng)偽裝的相關(guān)研究，根據(jù)參考文獻(xiàn)[1]對(duì)操作系統(tǒng)指紋和操作系統(tǒng)被動(dòng)偽裝的的相關(guān)定義，以及對(duì)Xprobe2的探測(cè)原理和實(shí)現(xiàn)的技術(shù)細(xì)節(jié)的深入研究分析，提出Anti-Xprobe2的設(shè)計(jì)原型。 考

4、慮到Anti-Xprobe2具體實(shí)現(xiàn)的重要環(huán)節(jié)在于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截獲，對(duì)Anti-Xprobe2開發(fā)運(yùn)行所依賴的平臺(tái)Windows2000的網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行分析，對(duì)Windows2000之上的各種數(shù)據(jù)包截獲機(jī)制進(jìn)行了研究和比較，提出基于NDIS中間層的數(shù)據(jù)包截獲技術(shù)，通過對(duì)數(shù)據(jù)包偽裝來防御Xprobe2對(duì)主機(jī)操作系統(tǒng)指紋的探測(cè)。在此基礎(chǔ)上，設(shè)計(jì)了Anti-Xprobe2的總體框架，Anti-Xprobe2設(shè)計(jì)分為事件分離模塊和偽裝應(yīng)答兩