技術領域

本發明涉及服務器認證領域，具體涉及一種從應用層提取TCP指紋的方法。

背景技術

隨著各式各樣智能手機、平板電腦以及物聯網設備的出現，客戶端設備的種類再也不像以前只有臺式機、筆記本那樣單一。如何識別這些不同種類的設備，并根據不同設備投射不同的內容也變得越來越重要，比如根據手機和電腦屏幕的不同，投射不同的內容，或根據網絡狀況的不同，投射大小不同的圖片，從而減少用戶客戶端的加載時間，提高效率。

上面所述的設備特征從網絡傳輸的角度看都是在應用層直接提取的，比如瀏覽器通過javascript提取。

TCP指紋是指將不同操作系統在TCP協議中的差異視為指紋,據此來探測遠程操作系統的類型。在網絡對抗環境中,對于攻擊方而言,了解目標系統的操作系統使其攻擊手段更具針對性；對于防守方而言,了解遠程主機的操作系統不僅能有助于檢測攻擊的出現,更為重要的是有利于制定和采取更為有效的反制措施。目前,人們已經提出了不少探測遠程操作系統的方法和技術。由于將不同操作系統在TCP中體現出來的差異視為“指紋特征”,這與人們利用指紋來辨識人身份的原理相似。

在實踐中，TCP指紋方法通常這樣應用：總結各種操作系統網絡協議棧的上述細微差異，形成一個指紋數據庫。在探測一個系統的時候，通過網絡和目標系統進行交互，或者偵聽目標系統發往網絡的數據包，收集其網絡協議棧的行為特點，然后對收集的信息進行分析，從而得出目標系統運行何種OS的結論。

TCP(SYN)同步報文的選項格式如下表1所示：

表1

常見TCP選項有7種，如下表2所示：

表2

由于每種操作系統都有自己特定的配置，導致每種OS都具有自己特定的TCP同步報文(SYN報文)，例如：

Debian8.5內核3.16.4-amd64的options為：

Options:(12bytes),No-Operation(NOP),No-Operation(NOP),Timestamps

No-Operation(NOP)

No-Operation(NOP)

Timestamps:TSval 5041456,TSecr 3166250107

Centos7內核3.10.0-229的options為：

Options:(20bytes),Maximum segment s ize,SACK permitted,Timestamps,No-Operat ion(NOP),Window scale

Maximum segment s ize:1460 bytes

TCP SACK Permitted Option:True

Timestamps:TSval 5396750,TSecr 0

No-Operat ion(NOP)

Window scale:7(multiply by 128)

TCP報文選項會因內核版本、OS發行版本、配置的不同而不同，故可以據此給與應用層更多的設備識別因子。

正常況下，TCP頭部選項是操作系統的協議棧處理的，用于計算往返時延(RTT)，設置窗口大小(win)等，協議棧最終將TCP頭部選項刪掉，將TCP數據部分重新組裝發送到應用層，故應用層是無法從正常途徑拿到TCP頭部中的options。

針對上述這種情況，本申請發明一種從應用層提取TCP指紋的方法，該方法從TCP報文中提取操作系統的特征碼，給服務器的認證系統從設備特征方面做一個補充，為應用層識別設備提供了一個重要的特征因子。

發明內容