操作系统识别探测

在启动漏洞利用之前，攻击者可能会尝试探测目标主机以了解其操作系统 （OS）。有了这些知识，他们可以更好地决定发起哪种攻击以及利用哪些漏洞。Junos OS 可以阻止通常用于收集有关 OS 类型信息的侦测探测。

在 Junos OS 12.1X47 版之前，DNS 解析仅使用 UDP 作为传输。UDP 携带的消息限制为 512 字节;较长的消息将被截断，并在标头中设置流量类 （TC） 位。UDP DNS 响应消息的最大长度为 512 字节，但 TCP DNS 响应消息的最大长度为 65,535 字节。如果在标头中设置了 TC 位，DNS 解析器知道响应是否完整。因此，TCP DNS 响应可以比 UDP DNS 响应携带更多信息。

有三种类型的 DNS 解析行为：

• UDP DNS 解析

• TCP DNS 解析

• UDP/TCP DNS 解析

SYN 和 FIN 控制标志通常不会设置在同一 TCP 分段标头中。SYN 标志同步序列号以启动 TCP 连接。FIN 标志指示数据传输结束以完成 TCP 连接。它们的目的是相互排斥的。设置了 SYN 和 FIN 标志的 TCP 标头是异常 TCP 行为，会导致接收方做出各种响应，具体取决于操作系统。参见 图 1。

图 1：设置了 SYN 和 FIN 标志的 TCP 报头

攻击者可以发送设置了两个标志的分段，以查看返回的系统回复类型，从而确定接收端的操作系统类型。然后，攻击者可以使用任何已知的系统漏洞进行进一步攻击。

启用此屏幕选项时，Junos OS 将检查 TCP 报头中是否设置了 SYN 和 FIN 标志。如果它发现这样的标头，它会丢弃数据包。

此示例说明如何创建一个屏幕来阻止设置了 SYN 和 FIN 标志的数据包。

图 2 显示了设置了 FIN 控制标志的 TCP 分段（用于发出会话结束信号并终止连接）。通常，设置了 FIN 标志的 TCP 段也会设置 ACK 标志（以确认先前收到的数据包）。由于设置了 FIN 标志但未设置 ACK 标志的 TCP 标头是异常 TCP 行为，因此对此没有统一的响应。OS 可能会通过发送设置了 RST 标志的 TCP 分段来响应。另一个可能完全忽略它。受害者的响应可以为攻击者提供有关其操作系统的线索。 （发送设置了 FIN 标志的 TCP 分段的其他目的是在执行地址和端口扫描时逃避检测，以及通过执行 FIN 泛洪来逃避对 SYN 洪水的防御。

图 2：设置了 FIN 标志的 TCP 报头

启用此屏幕选项时，Junos OS 将检查是否设置 FIN 标志，但未检查 TCP 报头中的 ACK 标志。如果它发现具有此类标头的数据包，则会丢弃该数据包。

此示例说明如何创建一个屏幕来阻止设置了 FIN 标志但未设置 ACK 标志的数据包。

普通 TCP 段标头至少有一个标志控制集。未设置控制标志的 TCP 分段是异常事件。由于不同的操作系统对此类异常的响应不同，因此目标设备的响应（或无响应）可以提供有关其正在运行的操作系统类型的线索。参见 图 3。

图 3：未设置 标志的 TCP 报头

当您允许设备检测未设置标志的 TCP 分段标头时，设备将丢弃所有标志字段缺失或格式错误的 TCP 数据包。

此示例说明如何创建一个屏幕来阻止未设置标志的数据包。