探测远程主机操作系统指纹的全新技术

核心提示：以下是在不同的设备上现实的区别：-│Retries│minolta printer│ cisco router │3com switch││==1st==│==4,5==│==2│3,5││==2nd==│==4,5==│==3,9==│4,4││==3rd==│===9===│==5,9==│4,4││==4th==

以下是在不同的设备上现实的区别：

---------------------------------------------------------

│Retries│minolta printer│ cisco router │3com switch│

│==1st==│======4,5======│======2========│====3,5====│

│==2nd==│======4,5======│======3,9======│====4,4====│

│==3rd==│=======9=======│======5,9======│====4,4====│

│==4th==│=======18======│no more retries│====4,4====│

│==5th==│=======36======│===============│====4,4====│

│==6th==│=======72======│===============│====4,4====│

│==7th==│======144======│===============│====4,4====│

│==8th==│======285======│===============│====4,4====│

│==9th==│======576======│===============│====4,4====│

│==10th=│======169======│===============│====4,4====│

│==11th=│======169======│===============│====4,4====│

│==12th=│======169======│===============│====4,4====│

---------------------------------------------------------

│=Reset=│=====Reset=====│===no reset====│==no reset=│

---------------------------------------------------------

注意，经过一系列的重传后，一些系统会发送一个RST数据报警告扫描主机终止传输，进而停止重传数据报。

六、讨论与扩充

6.1 优势

RING使用的技术的最大优势就是它只需要一个打开的端口。如果目标主机是被防火墙所保护的，那么很可能就只开了一个端口，其他的端口则是被过滤了的。

在相同的防火墙配置情况下，NMAP就不会那么有效了，因为它是基于一些关闭端口了，而这些关闭的端口往往是被过滤了。

而且，RING的技术是使用了一个标准的TCP数据报，它将不会对目标主机造成任何的不利影响。

另一方面，这种探测方式需要花比NMAP或Xprobe更多的时间。这是测量连续数据报时间延迟的一个固有的缺点。

6.2 保护

有什么办法可以阻止RING对操作系统指纹的探测呢？因为传送的是标准的数据报，因此目标主机不可能将之从通常的数据传输中区分开来。

数据报的重传是显而易见的，但是数据报的丢失和重传在网络上又是时常发生的事情。

如果一个入侵检测系统为了防止网络上过多的垃圾信息而中止了某个连接，这样将会降低TCP的错误率并恢复网络的流通容量。

在某些操作系统中，可以通过修改TCP/IP栈某些成员的数据进而达到避开RING探测的作用。但是我并不推荐这种方法，因为它会严重威胁到TCP/IP栈的稳定性。

另一个可能的方法是将主机隐藏于代理之后，或是使用防火墙技术来实现SYN转发或SYN网关技术。SYN转发或SYN保护技术是专门用来对付SYN洪水攻击的。

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>