http://www.freebuf.com/articles/system/30037.html
使用TCP/IP協議棧指紋進行遠程操作系統辨識
          Fyodor <fyodor@insecure.org> (insecure.org)
                         1998-10-18
                     最后修改：1999-4-10

                   譯者neko <neko@126.com>
                         2000-6-30

                       本文可以自由分發

概述

本文討論了如何查詢一臺主機的TCP/IP協議棧來收集寶貴的信息。首
先，我列舉了棧指紋之外的幾種“經典的”操作系統辨識方法。然后
我描述了棧指紋工具的“工藝現狀”。接下來說明讓遠程主機泄漏其
信息的一些技術。最后詳述了我的實現（nmap），和用它獲得的一些
流行網站的操作系統信息。


理由

我認為辨識一個系統所運行OS的用處是相當顯而易見的，所以這一節
會很短。最有力的例子之一是許多安全漏洞是OS相關的。試想你正在
作突破試驗并發現53端口是打開的。如果那是易遭攻擊的bind版本，
則你只有一次機會利用它因為失敗的嘗試會殺死守護程序。有了正確
的TCP/IP指紋，你將很快發現它運行的是'Solaris 2.51'或者'Linux 2.0.35'
而因此調整你的外殼代碼。

一個比較糟的例子是某人掃描500，000臺主機以找出它們運行什么OS
和哪些端口是打開的。然后等誰貼（說）有一個root漏洞在Sun的comsat
守護程序里，我們的小朋友能從人家的列表中找出 'UDP/512'和'Solaris 2.6'
這兩個詞，并立即得到了整頁整頁的可得到root特權的盒子。必須認
識到那是腳本小子（SCRIPT  KIDDIE）的行為。你證明了你的無能而
且沒有人，甚至對方也，對你能找到沒有及時修補漏洞而易受攻擊的
.edu之事留有印象。人們也_較少_留有印象如果你用你新找到的通路
去破壞政府的web 站，換以一個自大的你如何強大而管理員們如何愚
蠢的話的話。。

另一個用法是社會工學。假如你掃描目標公司而namp報告一個'Datavoice 
TxPOR TPRISM 3000 T1 CSU/DSU 6.22/2.06'。則黑客就以'Datavoice 
support'為名打電話并討論他們PRISM 3000的一些問題。“我們正要
公布一個安全漏洞，但希望我們現在的客戶先安裝補丁--我剛剛寄給
你...”一些天真的管理員會假定只有Datavoice指定的工程師才會對
他們的CSU/DSU知道的如此之多。

這個能力另一個潛在的用途是評價你要交易的公司。在選擇一個新ISP
前，掃描它們看用的是什么設備。那些“ 99美元/年”的買賣不向聽
起來那么好當你發現它們用廉價的路由器并用一堆運行Windows 的機
器提供PPP 服務的時候。


經典技術

棧指紋以獨特的方式解決OS辨識的問題。我想這個技術最有把握，但
現在有許多其他解決方案。遺憾的是，這仍是其中最有效的：

playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12...
Connected to hpux.u-aizu.ac.jp.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login: 

沒有必要在指紋上費這么大力氣，如果機器能大聲對世界說明它們運
行的是什么！遺憾的是，許多制造商交付帶有這類標志的_現有的_系
統而且許多管理員沒有關上它。[譯者：原文如此]只是因為還有其他
方法找出運行的OS（例如指紋），但不是說我們應該通知每個嘗試連
接的笨蛋我們的OS和體系結構。

依靠這個技術的問題是越來越多的人把標志關閉，許多系統不給出更
多信息，還有少數在標志中“說謊”。不過，你得到全部就是讀標志
方式的OS和OS版本檢查，如果你把上千美元花在商業的ISS 掃描器上
的話。下載nmap或queso代替它們可以替你省錢:)。

即使你關閉了標志，當被詢問時許多應用程序仍然很高興給出這類信
息。例如這個FTP服務器：

payfonez> telnet ftp.netscape.com 21
Trying 207.200.74.26...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS

首先，它給出了它默認的系統細節標志。然后如果我們給出'SYST'命
令它愉快地送回更多信息。

如果FTP的anon被支持，我們經常可以下載/bin/ls或其他的二進制文
件而測定它所建造的體系結構。

許多其他應用程序對信息太隨便了。比如web服務器：

playground> echo 'GET / HTTP/1.0
' | nc hotbot.com 80 | egrep '^Server:' 
Server: Microsoft-IIS/4.0
playground>

Hmmm ... 我對這些家伙運行的感到驚訝。

其他經典技術包括DNS 主機信息記錄（不太有效）和社會工學。如果
它在聽161/udp (snmp)，用CMU SNMU工具包里的'snmpwalk'和'public'
通信名你肯定能獲得一大堆信息。


當前指紋問題

Nmap不是第一個用TCP/IP指紋辨識OS的程序。Johan的通用的IRC欺騙
程序sirc包括了非常基本的指紋技術從版本3 （或更早）開始。它嘗
試把主機分為 "Linux","4.4BSD", "Win95", 或 "Unknown"幾類通過
幾個簡單TCP標志測試。

另一個這樣的程序是checkos，作者Shok對版本7終于有了信心在今年
一月公開發行。指紋技術和SIRC的完全一樣，甚至_代碼_都有許多同
樣之處。Checkos 在公開發行前私下流傳了很久，所以不知誰偷誰的。
但看起來誰都不信任對方。checkos增加的是telnet 標志檢查，有用
但有前面說的問題。[更新：Shok寫信來說checkos無意公開發行而這
就是為什么他沒有找SIRC要那些代碼的許可。]

Su1d也寫了一個OS檢查程序。他稱它叫SS其版本3.11可以辨識12個不
同的OS類型。我有些偏愛它因為他許可我的nmap程序一些網絡代碼:)。

然后是queso 。這是最新的而且對其他程序是一個巨大的飛躍。不僅
是因為它們推出了一些新測試，而且它們是首先（就我所見）把OS指
紋_移出_代碼的。其他掃描的代碼象：

/* from ss */
if ((flagsfour & TH_RST) && (flagsfour & TH_ACK) && (winfour == 0) && 
   (flagsthree & TH_ACK))
       reportos(argv[2],argv[3],"Livingston Portmaster ComOS");

相反，queso 把這些代碼移到一個配置文件顯然使更易擴展而且使增
加一個OS成為在指紋文件中增加幾行的簡單工作。

Queso由Savage，Apostols.org的高手之一，所寫。

以上所述所有問題中的一個問題是只有非常有限數量的指紋測試從而
限制了回答的詳細程度。我想知道不僅是'這臺機器是OpenBSD, FreeBSD,
或者NetBSD'，我想確切知道它到底是那一個還有版本號。同樣，我希
望看到'Solaris 2.6' 而不僅僅是'Solaris'。為此，我對一系列指紋
技術進行了研究，它們將在下一節說明。


指紋方法學

有許多許多技術可以用來定義網絡棧指紋。基本上，你只要找出操作
系統間的不同并寫探測器查明它們。如果你合并足夠這些，你可以非
常細致的區分它們。例如nmap可以可靠分辨出Solaris 2.4 和Solaris 2.5-2.51
以及Solaris 2.6。他能分辨Linux內核2.0.30到2.0.31-34或or 2.0.35。
這有一些技術：

FIN 探測器 -- 這里我們送一個FIN包（或任何其他包不帶ACK 或SYN
      標記）給一個打開的端口并等待回應。正確的RFC793行為是不
      響應，但許多有問題的實現例如 MS Windows, BSDI, CISCO, 
      HP/UX,MVS,和IRIX 發回一個RESET。許多現有工具利用這個技
      術。

BOGUS 標記探測器 -- Queso 是我見過的第一個用這個聰明技術掃描
      器。這個主意是設置一個未定義的TCP "標記"（64或128）在SYN
      包的TCP頭里。Linux機器到2.0.35之前在回應中保持這個標記。
      我沒有發現其他OS有這個錯誤。然而，一些操作系統象是復位
      連接當它們得到一個SYN+ BOGUS包的時候。這一行為對辨識它
      們有用。

TCP ISN 取樣 -- 這個主意是找出當響應一個連接請求時由TCP 實現
      所選擇的初始化序列數式樣。這可分為許多組例如傳統的64K
     （許多老UNIX機器），隨機增量（新版本的Solaris, IRIX, FreeBSD,
      Digital UNIX, Cray, 和許多其他的），真“隨機”（Linux 2.0.*,
      OpenVMS,新的AIX,等）。Windows 機器（和一些其他的）用一
      個“時間相關”模型，每過一段時間ISN 就被加上一個小的固
      定數。不用說，這幾乎和老的64K 行為一樣容易攻破。當然我
      喜歡的技術是"常數"。機器總是使用確切同樣的ISN :)。我已
      經在3Com的集線器（用0x803）和Apple LaserWriter打印機（
      用0xC7001 ）上看到了。

      你也可以通過例如計算其隨機數的變化量，最大公約數，以及
      序列數的其他函數和數之間的差異再進一步分組。

      要知道ISN 的生成和安全息息相關。想了解更多情況，聯絡在
      SDSC的“安全專家”Tsutome Shimmy Shimomura，問他所知道
      的。Nmap是我所見到的第一個用它來辨識OS的程序。

不分段位 -- 許多操作系統開始在送出的一些包中設置IP的"Don't Fragment"
      位。這帶來多種性能上的好處（盡管它也可能是討厭的 -- 這
      就是nmap的分段掃描對Solaris機器無效的原因）。無論如何，
      不是所有的OS都這樣做而且另一些做的場合不同，所以通過注
      意這個位我們甚至能收集目標OS的更多信息。在那兩個程序中
      沒見過這個。

TCP 初始化窗口 -- 這只包括了檢查返回包的窗口大小。較老的掃描
    器簡單地用一個非零窗口在RST包中來表示“BSD 4.4  族”。新
    一些的如queso 和nmap則保持對窗口的精確跟蹤因為它對于特定
    OS基本是常數。這個測試事實上給出許多信息，因為有些可以被
    唯一確定（例如，AIX 是所知唯一用0x3F25的）。在它們“完全
    重寫”的NT5 TCP 棧中，Microsoft 用的是0x402E。有趣的是，
    這和OpenBSD 與FreeBSD 中所用的數字完全一樣。

ACK 值 -- 盡管你會認為這個會完全標準，不同實現中一些情況下ACK
      域的值是不同的。例如，如果你送了一個FIN|PSH|URG 到一個
      關閉的TCP 端口。大多數實現會設置ACK 為你的初始序列數，
      而Windows 和一些傻打印機會送給你序列數加1 。若你送一個
      SYN|FIN|URG|PSH 到一個打開的端口，Windows 會非常古怪。
      一些時候它送回序列號，但也有可能送回序列號加1， 甚至還
      可能送回一個隨機數。我們覺得奇怪，不知微軟寫的是些什么
      代碼。

ICMP  錯誤信息終結 -- 一些（聰明的）操作系統跟從RFC 1812的建
      議限制各種錯誤信息的發送率。例如，Linux 內核（在net/ipv4/icmp.h）
      限制目的不可達消息的生成每4 秒鐘80個，違反導致一個1/4 
      秒的處罰。測試的一種辦法是發一串包到一些隨機的高UDP 端
      口并計數收到的不可達消息。沒見過用它的，而且實際上我也
      沒有把它加進nmap（除了作為UDP 端口掃描用）。這個測試會
      讓OS辨識多花一些時間因為需要送一批包再等它們回來。而且
      對付網絡丟包會很痛苦。

ICMP  消息引用 -- RFC 規定ICMP錯誤消息可以引用一部分引起錯誤
      的源消息。對一個端口不可達消息，幾乎所有實現只送回IP請
      求頭外加8 字節。然而，Solaris 送回的稍多，而Linux 更多。
      這使得nmap甚至在沒有對方沒有監聽端口的情況下認出Linux 
      和Solaris 主機。

ICMP  錯誤消息回應完整性 -- 我這個想法來自Theo De Raadt （OpenBSD
      開發負責人）貼在comp.security.unix的文章。剛剛提到，機
      器會把原始消息的一部分和端口不可達錯誤一起送回。然而一
      些機器傾向于在初始化處理時用你的消息頭作為“草稿紙”所
      以再得到時會有些許的改動。例如，AIX 和BSDI送回一個IP“
      全長”域在20字節處。一些 BSDI，FreeBSD，OpenBSD，ULTRIX，
      和VAXen 改變了你送的IP ID 。因為TTL 改變而改變了檢查和，
      有些機器（AIX, FreeBSD, 等）送回錯誤的或0 檢查和。總之，
      nmap作9 種測試在ICMP錯誤上以分辨出這類細微差別。

服務類型 -- 對于ICMP端口不可達消息我察看送回包的服務類型(TOS)
      值。幾乎所有實現在這個ICMP錯誤里用0 除了Linux 用0xc0。
      這不是標準的TOS 值，而是一個未使用優先域(AFAIK) 的一部
      分。我不知道為什么如此，但如果他們改成0 我們還能夠分辨
      舊系統_而且_還能分辨出舊系統和新系統。

分段控制 -- 這是安全網絡公司（現在由一幫在NAI 的Windows 用戶
      所擁有）的Thomas H. Ptacek喜愛的技術。它獲益于事實即不
      同實現經常以不同方式控制覆蓋IP段。一些會用新的覆蓋舊的
      部分，另一些情況中舊的優先。有很多不同可能你可以用來決
      定如何重組數據包。我沒有加入這一特性因為沒有簡便的方式
      發送IP分段（特別是，在Solaris 上是不允許的）。關于覆蓋
      段的更多信息，可以看IDS 的論文(www.secnet.com)

TCP 選項 -- 這簡直是泄漏信息的金礦。它的好處在于：
      1)  這通常是可選的(哈!):) 所以并非所有實現都支持。
      2)  若一個實現發出設置了選項的請求，目標通過設置它在回
          應中表示支持。
      3)  可以在一個數據包中設置而一次測試所有選項。

      Nmap發送這些選項的幾乎所有可能的包：

      Window Scale=10; NOP; Max Segment Size = 265; Timestamp; End of Ops;

      當你得到回應，看看那個選項被送回也就是被支持。一些操作
      系統如最近的FreeBSD 機器支持上面所有的，而其他，如Linux 2.0.X
      支持的則很少。最近的Linux 2.1.x 內核支持上面所有的。另
      一方面，它們又有更易受攻擊的TCP 序列生成方式。去看看。

      即使幾個操作系統支持同樣的選項集，有時仍可以通過選項的
      _值_分辨出它們。例如，如果送一個小的MSS值給Linux機器，
      它會用那個MSS 生成一個回答給你。其他主機會給你不同的值。

      甚至即使你得到同樣的支持選項集和同樣得值，你仍可以通過
      選項提供的_順序_和填充字進行辨識，例如Solaris返回'NNTNWME'
      表示：

      而Linux 2.2.122返回MENNTNW。同樣的選項，同樣的值，但不
      同順序！

      沒見過其他OS檢測工具利用TCP 選項，但它非常有用。

      因同樣原因有其他幾個有用的選項我會探測，象那些支持T/TCP
      和選擇性確認。

開發年代 -- 甚至使用上面所有測試，nmap仍不能從TCP 棧區分Win95，
      WinNT，或Win98。這很令人驚訝，尤其是Win98 比Win95 晚出
      現4 年。你可能想它們不得不從某些方面進行改善（象支持更
      多的TCP 選項）這樣我們可以檢測到改變而分辨出它們。不幸
      的是，不是這樣的。NT的棧顯然就是放在95里的蹩腳的東西。
      而且到98也沒加改動。

      但別放棄希望，還有個辦法。你可以簡單的進行早期的Windows
      DOS 攻擊（Ping of Death, Winnuke, 等）而比當時的如Teardrop
      和Land多做一些。就是在每個攻擊之后，ping它們看是否垮
      掉了。等到你最后crash 掉它們，你就能縮小的某一服務包
      或補丁。

      這個沒加進nmap,盡管我承認它非常誘人:)。

SYN洪水限度 --  一些操作系統會停止新的連接嘗試如果你送太多的
      偽造SYN 給它（偽造包避免你的內核復位連接）。許多操作系
      統只能處理8 個包。最近的Linux 內核（包括其他操作系統）
      允許不同的方式如SYN cookie來防止這成為嚴重問題。所以你
      可以試著從偽造地址發8 個包到目標打開的端口再嘗試你還能
      否建立連接以發現一些信息。這沒在nmap中實現因為有人不喜
      歡你用SYN 洪水，甚至你解釋這只是想知道它運行的操作系統
      也不能使他們平靜。


NMAP實現和結果

我已經作了一個上面說的OS探測技術的參考實現（除了我說不包括的）。
我把它們加到了我的Nmap掃描器這樣在分析指紋時它已經知道了什么
端口是打開還是關閉的而不用你再告訴。它也能在Linux，*BSD， 和
Solaris 2.51和2.6， 以及其他一些操作系統間移植。

新版的nmap讀一個指紋模板文件。下面是語法的例子：

FingerPrint  IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
TSeq(Class=i800)
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

看第一行（我加了'>'標記）：

> FingerPrint  IRIX 6.2 - 6.3 # Thanks to Lamont Granquist

這簡單表明這個指紋覆蓋IRIX版本6.2到6.3而注釋表明Lamont Granquist
友好地送給我測試用IRIX機器的IP地址或指紋。

> TSeq(Class=i800)

這表明ISN 取樣放在"i800組"。這意味著每一個新序列號比前一個大
800的整數倍。

> T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)

這個測試叫T1（比test1 聰明吧？）。這個測試我們送一個SYN 包帶
一組TCP 選項到一個打開的端口。DF=N意為回答的"Don't fragment"
位必須沒有設置。W=C000|EF2A意為收到的窗口特征必須是0xC000 或
EF2A。ACK=S++是說響應必須是我們送的序列號加1 。Flags=AS 意為
ACK 和SYN 標記在回答中。Ops=MNWNNT意為回答的選項必須如此順序：



> T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)

測試2 包括一個NULL及同樣選項到一個打開的端口。Resp=Y表示我們
必須得到一個回答。Ops=表示必須沒有任何選項包括在回答中。若整
個用'%Ops='則任何選項都匹配。

> T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M)

測試3 是一個SYN|FIN|URG|PSH w/options 到一個打開端口。

> T4(DF=N%W=0%ACK=O%Flags=R%Ops=)

這是一個到打開端口的ACK。注意這兒沒有Resp=。這意味著缺少回答
（比如包在網絡上掉了或被防火墻攔住了）不會妨礙其他測試的匹配。
我們如此是因為實際上所有的OS都會回答，所以缺少回答總是網絡原
因而不是OS本身造成。測試2和3里有Resp標記因為有OS_確實_丟棄它
們而不回答。

> T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
> T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
> T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)

這些測試是SYN，ACK，和FIN|PSH|URG， 分別地，到一個關閉端口。
總是設置同樣的選項。當然這顯然給了名字'T5', 'T6', 和 'T7' :)。

> PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

這大家伙是端口不可達消息測試。現在你應該認識DF=N了。TOS=0 意
為IP服務域類型是0 。下兩個域給出（16進制）返回的消息頭IP全長
域和IP頭中給的全長。RID=E 是說在返回的部分原始包中的RID 值應
和原來的一樣（就如我們送出的）。RIPCK=E 表示沒有修改檢查和（
改了的話用RIPCK=F）。UCK=E表示UDP 檢查和也正確。下面的是UDP
長度0x134 和DAT=E 表示它們正確返回我們的UDP 數據。因為大多數
實現（包括這個）不送回任何我們的UDP 數據包，它們默認DAT=E。

帶這個功能的這個版本的nmap正在私下進行第六次beta測試循環。你
讀到的時候，也許已經完成，也許沒有。訪問http://nmap.org/
以得到最新版本。

流行網站快照

下面是我們努力的成果。我們現在可以隨機挑選Internet網站判斷它
使用的OS。它們許多修改了telnet標志，等。以使這些信息保密。但
這對我們的新指紋沒用！這也是好辦法揭露<填上你喜歡的傻OS>的用
戶是多么的愚蠢。:)

用在這些例子中的命令是：nmap -sS -p 80 -O -v <主機>

也要注意大多數掃描是在98-10-18進行的。那以后一些家伙會升級/ 
改變了它們的服務器。

注意我并不喜歡這的每個網站。

# "黑客" 網站或(兩方都是)自認為是的
www.l0pht.com        => OpenBSD 2.2 - 2.4
insecure.org     => Linux 2.0.31-34
www.rhino9.ml.org    => Windows 95/NT     # 沒的說 :)
www.technotronic.com => Linux 2.0.31-34
www.nmrc.org         => FreeBSD 2.2.6 - 3.0
www.cultdeadcow.com  => OpenBSD 2.2 - 2.4
www.kevinmitnick.com => Linux 2.0.31-34  # Free Kevin!
www.2600.com         => FreeBSD 2.2.6 - 3.0 Beta
www.antionline.com   => FreeBSD 2.2.6 - 3.0 Beta
www.rootshell.com    => Linux 2.0.35  # 改成了 OpenBSD 在他們得到以后

# 安全提供商，顧問，等
www.repsec.com       => Linux 2.0.35
www.iss.net          => Linux 2.0.31-34
www.checkpoint.com   => Solaris 2.5 - 2.51
www.infowar.com      => Win95/NT

# OS制造商
www.li.org           => Linux 2.0.35 # Linux 國際版
www.redhat.com       => Linux 2.0.31-34 # 我奇怪它們發行什么 :)
www.debian.org       => Linux 2.0.35
www.linux.org        => Linux 2.1.122 - 2.1.126
www.sgi.com          => IRIX 6.2 - 6.4
www.netbsd.org       => NetBSD 1.3X
www.openbsd.org      => Solaris 2.6     # 啊嗨 :)
www.freebsd.org      => FreeBSD 2.2.6-3.0 Beta

# 學聯
www.harvard.edu      => Solaris 2.6
www.yale.edu         => Solaris 2.5 - 2.51
www.caltech.edu      => SunOS 4.1.2-4.1.4  # Hello! 這是90年代的 :)   
www.stanford.edu     => Solaris 2.6
www.mit.edu          => Solaris 2.5 - 2.51 # 這么多好學校喜歡SUN?
                                           # 大概是給.edu打40%的折扣 :)
www.berkeley.edu     => UNIX OSF1 V 4.0,4.0B,4.0D  
www.oxford.edu       => Linux 2.0.33-34  # 好家伙!

# 殘疾網站
www.aol.com          => IRIX 6.2 - 6.4  # 不奇怪它們那么不安全 :)
www.happyhacker.org  => OpenBSD 2.2-2.4 # 病態的, Carolyn?
                                        # 甚至最安全的OS在不合格的管理員手里也沒用

# 其他
www.lwn.net          => Linux 2.0.31-34 # 這是Linux新聞網站!
www.slashdot.org     => Linux 2.1.122 - 2.1.126
www.whitehouse.gov   => IRIX 5.3
sunsite.unc.edu      => Solaris 2.6

注意：在它們的安全白皮書中，Microsoft 說到它們松懈的安全：“
這種假設已經改變在這些年中Windows NT獲得普及很大程度上是由于
其安全特性”。喔，從我這里看Windows 在安全團體中不是很普遍:)。
從中我只看到2 臺Windows 機器，而且對nmap來說Windows 是_ 容易_
分辨的它太破了（一流的聰明）

當然，有更多需要檢查的。這是ultra-secret Transmeta公司的網站。
有趣的是該公司主要由微軟的Paul Allen建立，而非其雇員Linus Torvalds。
那么它們是和Paul用NT或者投身到Linux革命中去呢？我們看看：

我們用命令：
nmap -sS -F -o transmeta.log -v -O www.transmeta.com/24

這個說SYN 掃描一致端口(從/etc/services)，記錄結果到'transmeta.log'，
詳細地，進行OS掃描，并掃描www.transmeta.com所在的'C'地址。這
是結果摘要：

neon-best.transmeta.com (206.184.214.10) => Linux 2.0.33-34
www.transmeta.com (206.184.214.11) => Linux 2.0.30
neosilicon.transmeta.com (206.184.214.14) => Linux 2.0.33-34
ssl.transmeta.com (206.184.214.15) => Linux unknown version
linux.kernel.org (206.184.214.34) => Linux 2.0.35
www.linuxbase.org (206.184.214.35) => Linux 2.0.35 可能和上面的是同一臺機器

好，我想結果很清楚了:)。


感謝

現在Nmap能夠檢測如此多不同的操作系統的唯一原因是那么多的人在
個人beta測試中努力找到新的激動人心的機器來獲取指紋！特別是，
Jan Koum, van Hauser, Dmess0r, David O'Brien, James W. Abendschan,
Solar Designer, Chris Wilson, Stuart Stock, Mea Culpa,Lamont Granquist,
Dr. Who, Jordan Ritter, Brett Eldridge, 和Pluvius 送來成噸的
古怪機器的IP地址和/或不能通過Internet訪問的機器的指紋。

感謝Richard Stallman些的GNU Emacs。 本文不能順利自動換行如果
我用vi或cat 和^D的話。

問題和意見可以送到fyodor@insecure.org（如果它不工作了，用fyodor@insecure.org）。
Nmap可以從獲得http://insecure.org/nmap。


------
譯者注:
1>原文在：http://nmap.org/nmap-fingerprinting-article.txt
2>原文還有法語、葡萄牙語、意大利語、俄語、西班牙語、德語譯本
3>對譯文的任何意見請來信neko@126.com

總結

以上是生活随笔為你收集整理的TCP/IP指纹鉴别 fingerprint的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。