4.2.4基于协议栈指纹的操作系统识别 FN探测 BOGUS标记探测 TcP|SN取样 “无碎片”标记位
4.2.4 基于协议栈指纹的操作系统识别 • FIN探测 • BOGUS标记探测 • TCP ISN取样 • “无碎片”标记位
4.2.4基于协议栈指纹的操作系统识别 TCP初始化“窗口” AcK值 ICMP出错信息 ·TCP选项
4.2.4 基于协议栈指纹的操作系统识别 • TCP初始化“窗口” • ACK值 • ICMP出错信息 • TCP选项
FIN探测 该方法基于某些操作系统对到达的FN包会 有不同的响应。通过发送一个FN数据包 (或者任何未设置ACK或SYN标记位的数 据包)到一个打开的端口,并等待响应。 RFc793定义的标准行为是不响应,但诸如 Windows、BSD、 Cisco so、HPUX、 MVS和RⅨX等操作系统会回应一个 RESET 包。大多数的探测器都使用了这项技术
FIN探测 • 该方法基于某些操作系统对到达的FIN包会 有不同的响应。通过发送一个FIN数据包 (或者任何未设置ACK或SYN标记位的数 据包)到一个打开的端口,并等待响应。 RFC793定义的标准行为是不响应,但诸如 Windows、BSD、Cisco ISO、HP UX、 MVS和IRIX等操作系统会回应一个RESET 包。大多数的探测器都使用了这项技术
BOGUS标记探测 Queos是最先采用这种技术的探测器。其 原理是在一个SYN数据包TCP头中设置未 定义的TcP标记”(64或128)。低于 20.35版本的Lnux内核会在回应数据包中 保持这个标记,而其他操作系统都不会。 另外,有些操作系统当收到一个 SYN+ BOGUS数据包时会复位连接。因此 这种方法能够比较有效地识别不同的操作 系统
BOGUS标记探测 • Queos是最先采用这种技术的探测器。其 原理是在一个SYN数据包TCP头中设置未 定义的TCP“标记”(64或128)。低于 2.0.35版本的Linux内核会在回应数据包中 保持这个标记,而其他操作系统都不会。 另 外 , 有些操作系统当收到一个 SYN+BOGUS数据包时会复位连接。因此 这种方法能够比较有效地识别不同的操作 系统
TcP|SN取样 SN的含义是初始化序列号,即建立TcP连 接时第一个TCP包中的序列号字段。这种 探测的原理是通过在操作系统对连接请求 的响应中寻找TcP连接初始化序列号的特 征来判断操作系统类型
TCP ISN取样 • ISN的含义是初始化序列号,即建立TCP连 接时第一个TCP包中的序列号字段。这种 探测的原理是通过在操作系统对连接请求 的响应中寻找TCP连接初始化序列号的特 征来判断操作系统类型