基于NDIS的Anti-Xprobe2實(shí)現(xiàn)技術(shù)研究.pdf

1、網(wǎng)絡(luò)中各種物理設(shè)施都需要相應(yīng)操作系統(tǒng)的支持。操作系統(tǒng)類型作為一個重要的網(wǎng)絡(luò)特征值，對于攻擊者和網(wǎng)絡(luò)管理者都非常有價值。一般情況下，具體的系統(tǒng)漏洞都與具體的操作系統(tǒng)類型、或具體操作系統(tǒng)的版本相關(guān)。因此對于攻擊者而言，如果探測到攻擊目標(biāo)的具體操作系統(tǒng)類型及其版本號，就可能知道攻擊目標(biāo)存在的漏洞，進(jìn)而利用漏洞實(shí)現(xiàn)其攻擊、入侵的目的。另一方面，對于網(wǎng)絡(luò)管理者，可以通過探測確定網(wǎng)絡(luò)設(shè)施的操作系統(tǒng)類型及其版本號，進(jìn)而確定網(wǎng)絡(luò)設(shè)施是否有漏洞威脅。盡管

2、每種操作系統(tǒng)在設(shè)計、實(shí)現(xiàn)時，都試圖盡量避免各種已知的系統(tǒng)漏洞及缺陷，期望做到盡善盡美，毫無瑕疵。但事實(shí)證明，沒有一種操作系統(tǒng)能夠確保沒有潛在的漏洞。在不同操作系統(tǒng)的使用過程中，都可能發(fā)現(xiàn)各種各樣的漏洞，若攻擊者利用這些漏洞，就可能會對網(wǎng)絡(luò)設(shè)施造成致命的出擊。因此，本文對防御基于具體操作系統(tǒng)類型漏洞的攻擊進(jìn)行了研究。 文主要討論如何通過網(wǎng)絡(luò)偽裝來防御操作系統(tǒng)的真正類型及其版本被探測，進(jìn)而避免遭受針對具體操作系統(tǒng)類型漏洞的攻擊。在分

3、析Windows2000網(wǎng)絡(luò)體系結(jié)構(gòu)和操作系統(tǒng)指紋探測工具Xprobe2工作原理的基礎(chǔ)上，基于NDIS中間層驅(qū)動設(shè)計并實(shí)現(xiàn)防御操作系統(tǒng)指紋探測的工具Anti-Xprobe2，具體工作如下： 對操作探測的類型進(jìn)行了分類，介紹了國內(nèi)外操作系統(tǒng)偽裝的相關(guān)研究，根據(jù)參考文獻(xiàn)[1]對操作系統(tǒng)指紋和操作系統(tǒng)被動偽裝的的相關(guān)定義，以及對Xprobe2的探測原理和實(shí)現(xiàn)的技術(shù)細(xì)節(jié)的深入研究分析，提出Anti-Xprobe2的設(shè)計原型。 考

4、慮到Anti-Xprobe2具體實(shí)現(xiàn)的重要環(huán)節(jié)在于對網(wǎng)絡(luò)數(shù)據(jù)包的截獲，對Anti-Xprobe2開發(fā)運(yùn)行所依賴的平臺Windows2000的網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行分析，對Windows2000之上的各種數(shù)據(jù)包截獲機(jī)制進(jìn)行了研究和比較，提出基于NDIS中間層的數(shù)據(jù)包截獲技術(shù)，通過對數(shù)據(jù)包偽裝來防御Xprobe2對主機(jī)操作系統(tǒng)指紋的探測。在此基礎(chǔ)上，設(shè)計了Anti-Xprobe2的總體框架，Anti-Xprobe2設(shè)計分為事件分離模塊和偽裝應(yīng)答兩