基于NDIS的Anti-Xprobe2實現(xiàn)技術(shù)研究.pdf

1、網(wǎng)絡中各種物理設施都需要相應操作系統(tǒng)的支持。操作系統(tǒng)類型作為一個重要的網(wǎng)絡特征值，對于攻擊者和網(wǎng)絡管理者都非常有價值。一般情況下，具體的系統(tǒng)漏洞都與具體的操作系統(tǒng)類型、或具體操作系統(tǒng)的版本相關(guān)。因此對于攻擊者而言，如果探測到攻擊目標的具體操作系統(tǒng)類型及其版本號，就可能知道攻擊目標存在的漏洞，進而利用漏洞實現(xiàn)其攻擊、入侵的目的。另一方面，對于網(wǎng)絡管理者，可以通過探測確定網(wǎng)絡設施的操作系統(tǒng)類型及其版本號，進而確定網(wǎng)絡設施是否有漏洞威脅。盡管

2、每種操作系統(tǒng)在設計、實現(xiàn)時，都試圖盡量避免各種已知的系統(tǒng)漏洞及缺陷，期望做到盡善盡美，毫無瑕疵。但事實證明，沒有一種操作系統(tǒng)能夠確保沒有潛在的漏洞。在不同操作系統(tǒng)的使用過程中，都可能發(fā)現(xiàn)各種各樣的漏洞，若攻擊者利用這些漏洞，就可能會對網(wǎng)絡設施造成致命的出擊。因此，本文對防御基于具體操作系統(tǒng)類型漏洞的攻擊進行了研究。 文主要討論如何通過網(wǎng)絡偽裝來防御操作系統(tǒng)的真正類型及其版本被探測，進而避免遭受針對具體操作系統(tǒng)類型漏洞的攻擊。在分

3、析Windows2000網(wǎng)絡體系結(jié)構(gòu)和操作系統(tǒng)指紋探測工具Xprobe2工作原理的基礎(chǔ)上，基于NDIS中間層驅(qū)動設計并實現(xiàn)防御操作系統(tǒng)指紋探測的工具Anti-Xprobe2，具體工作如下： 對操作探測的類型進行了分類，介紹了國內(nèi)外操作系統(tǒng)偽裝的相關(guān)研究，根據(jù)參考文獻[1]對操作系統(tǒng)指紋和操作系統(tǒng)被動偽裝的的相關(guān)定義，以及對Xprobe2的探測原理和實現(xiàn)的技術(shù)細節(jié)的深入研究分析，提出Anti-Xprobe2的設計原型。 考

4、慮到Anti-Xprobe2具體實現(xiàn)的重要環(huán)節(jié)在于對網(wǎng)絡數(shù)據(jù)包的截獲，對Anti-Xprobe2開發(fā)運行所依賴的平臺Windows2000的網(wǎng)絡體系結(jié)構(gòu)進行分析，對Windows2000之上的各種數(shù)據(jù)包截獲機制進行了研究和比較，提出基于NDIS中間層的數(shù)據(jù)包截獲技術(shù)，通過對數(shù)據(jù)包偽裝來防御Xprobe2對主機操作系統(tǒng)指紋的探測。在此基礎(chǔ)上，設計了Anti-Xprobe2的總體框架，Anti-Xprobe2設計分為事件分離模塊和偽裝應答兩