报了个漏洞:远程网站主机被停说有漏洞支持了定义在RFC1323的TCP时间戳,通过这个特征可以计算出远程网站主机被停说有漏洞的正常运行时间。

来源:蜘蛛抓取(WebSpider) 时间:2019-10-18 10:26 标签: 网站主机被停说有漏洞

来源:华强电子网 作者:华仔 浏覽:3503

摘要: 摘 要: 不同于传统基于操作系统特性或者网络协议特性的软件识别机制提出了一种基于TCP时间戳进行远程网络设备识别的方法。该方法依据RFC 1323协议中TCP时间戳理论通过在发送数据包中加入时间戳选项,能够在没有测量工具协作的情形下远程利用细微的硬件设备偏差(时钟脉冲相位差)来识别网络设备实验结果表明,这种方法能够有效地用于远程网络网站主机被停说有漏洞的识别关键词: TCP时间戳;网络设备识别;网络安全 

摘 要: 不同于传统基于操作系统特性或者网络协议特性的软件识别机制,提出了一种基于进行远程的方法該方法依据RFC 1323协议中TCP时间戳理论,通过在发送数据包中加入时间戳选项能够在没有测量工具协作的情形下远程利用细微的硬件设备偏差(時钟脉冲相位差)来识别网络设备。实验结果表明这种方法能够有效地用于远程网络网站主机被停说有漏洞的识别。
关键词: TCP时间戳;網络设备识别;网络安全

 近年来无线局域网以超乎想象的速度迅猛发展。在迅速普及的同时相应的性问题日益凸现,开放式信道以忣某些自组织组网形式导致了形形色色的安全威胁在各类安全威胁中,非法接入设备对网络系统攻击造成的危害最大在这类网络攻击Φ,MAC地址被非法盗用来窃取网络资源和数据而目前对MAC地址盗用缺乏行之有效的办法。如果加入网络设备识别技术即便MAC地址仍然被盗用,但是非法网络设备的特征不能匹配合法设备的特征这将大大增强网络用户的安全性。
 在网络设备安全鉴别中侦测远程网站主机被停说有漏洞的操作系统不仅能够检测非法攻击,而且有利于制定和采取更为有效的反制措施目前,研究人员已经提出了不少探测远程操莋系统的方法和技术参考文献[1]提出通过探测网站主机被停说有漏洞操作系统进行远程设备识别;参考文献[2]、[3]提出利用不同操作系统TCP协议Φ存在的差异来探测远程网站主机被停说有漏洞,并将不同操作系统在TCP协议中体现出来的差异视为TCP指纹特征这种被动探测方式隐蔽性较強,具有一定的实用性但是,这种依赖操作系统探测进行远程网站主机被停说有漏洞识别的方式具有很大的局限性主要表现在两个方媔:一是非法用户可以通过多种方式进行操作系统伪装;二是依赖操作系统特征识别目标网络设备数量极为有限,一旦设备增多就难以进荇有效的安全识别
 为了解决上述问题,研究人员对网络设备自身的硬件设备差异进行了研究参考文献[4]首次在网络时延测量中观测到粅理设备时钟偏移现象,并提出了对时钟偏移的估计和消除方法;参考文献[1]分析了远程物理设备中存在的差异可能用作远程设备探测的两夶类特征包括操作系统差异和时钟偏差;参考文献[5]还进一步对网络分组的精确时间戳进行了分析。在上述研究的基础上本文提出了一種基于TCP时间戳(硬件设备时钟差异)进行远程网络设备识别的方法。与远程操作系统探测技术不同这种技术能够在测量工具协作的情形丅,利用细微的硬件设备偏差(时钟脉冲相位差)来识别远程网络设备这种识别技术可以用来判断网络上两个可能在时间和IP地址上有变動的设备是否为同一物理设备,从而提高网络接入设备的安全性

1 TCP时间戳原理 RFC 1323协议定义了两个新的TCP选项,即窗口扩大选项和时间戳(Timestamp)選项选项格式如图1所示。其中时间戳选项可以使TCP对报文段进行更加精确的RTT测量。即发送方在每个报文段中放置一个时间戳数值接收方在确认中返回这个数值,从而允许发送方为每一个收到的ACK计算RTT时间戳是一个单调递增的值,RFC 1323推荐在1 ms~1 s之间将时间戳值加1例如,BSD4.4在启动時将时间戳始终设置为0然后每隔500 ms将时间戳时钟加1。

实验分析 对本文提出的前述基于TCP时间戳的远程网络设备识别技术进行实验验证所搭建的网络实验环境如图4所示。实验中使用了3台网站主机被停说有漏洞分别编为1号机、2号机和3号机。其中1号网站主机被停说有漏洞作為服务器,其余两台网站主机被停说有漏洞用作待探测识别的网站主机被停说有漏洞本项目在1号机和其余两台网站主机被停说有漏洞上汾别运行服务器端程序和客户端程序。在两台网站主机被停说有漏洞进行网络通信的同时在服务器端运行数据包解析程序,捕获数据包並提取TCP时间戳然后通过线性规划分析对目标网站主机被停说有漏洞进行安全性识别。

现在免费注册您即可: ?阅读所有技术文章及下载網站资料; ?定期获得业界最新资讯及设计实例; ?拥有个人空间参与网站及客户活动; ?撰写博客与业界朋友交流分享经验; 已经注册? 登录阅览全部精彩内容

QuartusII各版本都可使用很多人不知道,其实各版本的licence是可共用的只是破解程序有些区别。

在TCP选项字段中为TCP预留有时间戳功能不管在网络层面还是应用层面,TCP时间戳往往被大家认为是一个系统行为并忽略其存在。其实在某些环境下TCP时间戳同样可以成为大镓在时延问题troubleshooting定位时的一个利器。

首先让我们先来回顾一下TCP时间戳的理论知识。

2) TCP时间戳理论作用有3个:序列号回绕乱序的时间判断依据,避免确认二义性以及计算RTT。

3) TCP时间戳工作方式:双方各自维护自己的时间戳时间戳的值随时间单调递增(规定为1ms-1s/次,常见值为1ms、10ms)本端发送timesstamp值,对方收到后在后续的ACK的timestamp echo回应本端的值并在timestamp中发送自己的时间戳。TCP记录发送时间戳和收到回应的时间, 从而获得RTT

如图,设备A发出首个请求为a2时刻然后设备B回复ACK将a2放入时间戳回显中,设备A在收到这个回显后结合当前自己的时间戳就可以计算出RTT

回顾完理論概念后,我们来实例看下TCP时间戳在定位中所起的作用

某用户系统出现数据库响应数据延迟较高的问题,在该用户环境中服务器和数据庫间存在几个带FW模块的网络设备但由于资源及流程问题,用户只部署了一个捕获点

首先,先从报文中确认延迟包采样的位置

我们采樣第19号包,延迟为0.45秒显然也不是应用响应延迟(这是连续的响应数据的第二个包)。产生问题的可能性有两种一是服务器的TCPIP协议栈问題,二是网络导致的问题从单点的问题来看暂时无法判断,我们可以选择再部署一个新的捕获点或移动捕获点到服务器侧来确认这样的問题

在这个报文我们发现是具有TCP时间戳选项的,这是一个非常有利的要素这表示我们未必需要再部署新捕获点了。

在获得时间戳前峩们先来确认两点。

一是真实的网络延迟情况可以通过三次握手时间得到,根据三次握手可以看到网络时间延迟在1ms级别左右,非常小

二是服务器方TCP时间戳增加一次的大致时间,通过5、6两个包的间隔为110ms而5号包TCP时间戳为8209278,6号包为8209289可以得到应该为10ms。

接下来通过sniffer、dali、wireshark等笁具我们可以轻松地获取前后的TCP时间戳,我们可以用下表来展示

下面,我们来解读下这些数据

1) 根据时间戳回显来看,在数据库发出苐19号包时还没有收到第18号ACK。而实际19和17号包到达捕获点的间隔时间远大于三次握手时得到的RTT

2) 看20、21号包的时间戳回显结果。结合捕获点獲得的延迟间隔显然19号包在到达捕获点后,很快就被服务器接收到

3) 回到17号和19号间的发包间隔时间。两者的时间戳数值相隔为(9289)=52洏根据捕获点获得的delta延迟2个包的间隔为(0.039+0.476)s=515ms。 根据之前得到的10ms/次的时间戳递增速度可以得到网络上所看到的延迟,和实际在数据库发出數据包时就已经体现在时间戳上的基本一致这样我们就可以排除网络延迟的可能性。

这样就可以避免再布点的麻烦以提高问题点位置嘚定位效率。

最后介绍下常见系统的TCP时间戳开关。

0表示关闭1表示打开。

说明:该参数控制 RFC 1323 时间戳与窗口缩放选项默认情况下,启用時间戳与窗口缩放但是可以使用标志位进行控制。0 位控制窗口缩放1 位控制时间戳。

值为1(仅启用窗口缩放)

值为2(仅启用时间戳)

值為3(两个选项均启用)

我要回帖

更多关于 网站主机被停说有漏洞 的文章

 

随机推荐