Nmap掃描器使用和分析.doc

1、華中科技大學(xué)計算機(jī)學(xué)院計算機(jī)網(wǎng)絡(luò)安全實驗報告實驗名稱 Nmap掃描器使用和分析 團(tuán)隊成員：姓 名班 級學(xué) 號貢獻(xiàn)百分比得 分王鳳偉IS0703U200714945100%注：團(tuán)隊成員貢獻(xiàn)百分比之和為1Email：visual_110教師評語：一 環(huán)境（詳細(xì)說明運(yùn)行的操作系統(tǒng)，網(wǎng)絡(luò)平臺，機(jī)器的IP地址）操作系統(tǒng) :Microsoft Windows XP Professional Service Package 3 。網(wǎng)絡(luò)平臺：TCP/IP網(wǎng)絡(luò)機(jī)器IP：4Nmap版本：5.21二 實驗?zāi)康膌 掌握主機(jī)、端口掃描的原理l 掌握Nmap掃描器的使用l 掌握Nmap

2、進(jìn)行遠(yuǎn)程OS檢測的原理三. 實驗步驟及結(jié)果（包括主要流程和說明）1 安裝Nmapa) 安裝界面單擊“IAgree”b) 選擇組件 默認(rèn)安裝，單擊“Next”c) 進(jìn)入安裝單擊“Install”后面一路默認(rèn)設(shè)置，最后安裝成功。2 利用Nmap掃描d) -sS (TCP SYN scan)參數(shù)掃描如圖2-1所示圖2-1 -sS掃描2從掃描結(jié)果可以看出2開通了11個端口，而且這些端口都是tcp端口，因為syn掃描是基于tcp的。e) -sT (TCP connect scan)參數(shù)掃描2如圖2-2圖2-2 -sT掃描211.69

3、.207.72從中可以看出，-sT掃描比-sS掃描多掃出了一個21號端口，對此我用wireshark截了一些包，發(fā)現(xiàn)21號端口只回應(yīng)了一個rst|ack包，而其余的端口回應(yīng)了至少三個rst|ack或reset之類的包，因此我判斷有可能-sS與-sT判斷端口打開的標(biāo)準(zhǔn)不同，-sT對回復(fù)一個rst|syn包就認(rèn)為對方的端口是開著的，而-sS要對方回復(fù)多個rst|syn才認(rèn)為對方的端口是開放的。f) -sU (UDP scans)參數(shù)掃描如圖2-3圖2-3 sU參數(shù)掃描42由于-sU掃描的是UDP端口，而且掃描的目標(biāo)ip為學(xué)校的DNS服務(wù)器，因此一定能掃描到對方的53號端口。g

4、) -sY (SCTP INIT scan)掃描如圖2-4圖2-4 sY參數(shù)掃描2由于流控制傳輸協(xié)議（SCTP）是IETF新定義的一個傳輸層transport layer協(xié)議（2000）所以到目前支持的不是很好，所以什么都沒有掃描出來。h) -sN; -sF; -sX (TCP NULL, FIN, and Xmas scans)-sN參數(shù)掃描如圖2-5-a所示圖2-5-a sN參數(shù)掃描2由于對方是windows系列的操作系統(tǒng)所以檢測到端口都是關(guān)閉的，但用syn掃描卻發(fā)現(xiàn)對方11個tcp端口。下面我們掃描一個不是windows系列的操作系統(tǒng)，-s

5、F參數(shù)掃描如圖2-5-b所示圖2-5-b sF參數(shù)掃描對方的主機(jī)是IBM AIX 5.3 - 6.1，所以像443/tcp等關(guān)閉的端口操作系統(tǒng)會返回一個rst|ack，可以被nmap偵測到。其它的966都是open或者filtered。-sX參數(shù)掃描如圖2-5-c所示圖2-5-c sX參數(shù)掃描這里的掃描結(jié)果與-sF的掃描結(jié)果一致，原理也基本一致，這里就不再解釋了。i) -sA(TCP ack scan)參數(shù)掃描如圖2-6圖2-6 sA參數(shù)掃描7由于對方對每個ack報文都回復(fù)了rst，所以nmap

6、判斷所有的端口都沒有過濾。j) sW(TCP window scan)參數(shù)掃描如圖2-7圖2-7 sW參數(shù)掃描2由于對方的所有回復(fù)報文均為rst故nmap判斷對方所有端口關(guān)閉。k) sM(TCP Maimon scan)參數(shù)掃描如圖2-8 圖2-8 sM參數(shù)掃描2-sM掃描實際是將sck和fin置位，對方以rst應(yīng)答，nmap判斷對方的所有端口都是開放或者被過濾的。l) sO(IP protocol scan)參數(shù)掃描如圖2-9 圖2-9 sO參數(shù)掃描2-sO掃描了IP協(xié)議相關(guān)的配置，如對方開放了ICMP協(xié)議、tcp協(xié)議以

7、及UDP協(xié)議，而igmp、ip、ipv6、esp以及ah協(xié)議被檢測為open|filtered。m) scanflags(Custom TCPscan)參數(shù)掃描如圖2-10 圖2-10 scanflags 2 參數(shù)掃描2-scanflags 2 其實就是syn掃描機(jī)-sS所以掃描的結(jié)果與-sS（圖2-1）應(yīng)該基本相同。3 深入了解Nmap OS指紋庫的結(jié)構(gòu)和含義a) 利用-O參數(shù)掃描2如圖3-1-A和3-1-B圖3-A-1 O參數(shù)掃描2第一屏圖3-B-2 O參數(shù)掃描2第二屏由于使用了-d 參數(shù)，所以

8、nmap會打印出匹配的指紋信息，下面我們就討論一下，這些指紋信息是如何計算出來的，以及nmap是如何通過指紋庫判斷操作系統(tǒng)的。b) Scan行此行反映了掃描的環(huán)境信息，如V=5.21說明nmap的版本是5.21，P=i686-pc-windows-windows說明掃描者的平臺是i686，操作系統(tǒng)是windows系列的。還有一些選項，不知道其具體是什么意思，但這對判斷操作系統(tǒng)應(yīng)該影響不大，所以就沒有深入研究。c) SEQ行首先，我們看看nmap-os-db中對應(yīng)于Fingerprint Microsoft Windows XP SP2，的SEQ行：SEQ(SP=FA-108%GCD=1-6%I

9、SR=106-110%TI=I%II=I%SS=S%TS=0)。下面我們先計算GCD： 由nmap的官方文檔/book/osdetect-methods.html#osdetect-gcd 可知，GCD是由Packet #1-Packet #6 這六個報文的響應(yīng)報文推到而來的，下面我們找到這些報文，我們首先找到 Packet #1，可以通過如下的過濾參數(shù)得到：ip.addr=34&tcp.options.wscale_val=10&tcp.window_size=1，結(jié)果如圖3-C-1：圖3-C-1 Packet#1報文由圖3-C-1可知Pa

10、cket#1報文的序號為2054，那么我們就可以通過此序號找到其它的五個報文，如圖3-C-2： 圖3-C-2 Packet#X以及它們的響應(yīng)報文 下面我們計算各個響應(yīng)報文之間的差值，以及差值的最大公約數(shù)。我們用數(shù)組diff1保存各個差值，并只給出計算diff10的詳細(xì)過程，以及相關(guān)數(shù)據(jù)包的截圖。第一個響應(yīng)報文為2055號報文，報文內(nèi)容如圖3-C-3：圖3-C-3 2055號報文wireshark截圖wireshark用相對值反映tcp的ISN，我們必須用實際的ISN，那么ISN=0X54f7491f。第二個響應(yīng)報文為2057號報文，報文的內(nèi)容如圖3-C-4：圖3-C-4 2057號報文的wir

11、eshark截圖ISN=0Xee7f5d13，所以diff10= 0Xee7f5d13-0X54f7491f=0X998813F4由于響應(yīng)報文的ISN依次為：0X54f7491f、0Xee7f5d13、0X34447a3c、0Xf9b8bea0、0Xc0c45029、0X7f375ad7同理可得（具體報文請參考o(jì)s_detect.pcap文件）：diff10= 0Xee7f5d13-0X54f7491f=0X998813F4（已得到）Diff21= 0X34447a3c-0Xee7f5d13+0Xffffffff=0X45C51D28Diff32=0Xf9b8bea0-0X34447a3c=0

12、XC5744464Diff43= 0Xf9b8bea0-0Xc0c45029=0X38F46E77Diff54= 0Xc0c45029-0X7f375ad7=0X418CF552由此可得：GCD=（0X998813F4，0X45C51D28，0XC5744464，0X38F46E77，0X418CF552）=1，也就是GCD在1和6之間。與nmap的打印結(jié)果不同。下面計算ISR：我們用數(shù)組seq_rates表示各個響應(yīng)報文之間的初始序列號增長率，那么通過圖3-C-2和diff1數(shù)組可以計算seq_rates：Seq_rates0= 0X998813F4/(4.965939-4.856578)=

13、 23553479320.78Seq_rates1= 0X45C51D28/(5.075279-4.965939)= 10705560270.72Seq_rates2= 0XC5744464/(5.184631-5.075279)= 30294198880.68Seq_rates3= 0X38F46E77/(5.294036-5.184631)= 8733998985.42Seq_rates4= 0X418CF552/(5.403459-5.294036)= 10050509326.19AVG(seq_rates)=( 23553479320.78+10705560270.72+3029419

14、8880.68+8733998985.42+8733998985.42+10050509326.19)/5=16667549356.758ISR=8*log16667549356.758=0X10F,但不知為什么與nmap打印的0X106有一定的偏差。說明：log的底默認(rèn)為2下面計算SP：SP= 8*logStandardDivision（seq_rates）=8*log 9687277259.89=0X109，但nmap打印的0X105，計算的結(jié)果還是與nmap的有些偏差。下面計算TI:探測SEQ響應(yīng)報文（圖3-C-2中有響應(yīng)的序列號）的IP_ID分別為：16538、16541、16542、

15、16543、16544、16545，顯然，IP_ID的增量小于10，所以TI=I，與nmap的打印結(jié)果一致。下面計算CI：由于CI要由T5、T6、T7的響應(yīng)報文計算出來，下面我們就找到T2-T7，在wireshark中輸入過濾參數(shù)：ip.addr=34&tcp.options.mss_val=265得到過濾結(jié)果如圖3-C-5圖3-C-5找到T2報文由圖3-C-5可知T2的報文序列號為2074，下面我們可以找到T2-T7如圖3-C-6所示圖3-C-6 T2-T7以及它們的響應(yīng)報文下面我們看看T5、T6、T7的響應(yīng)報文的IP_ID，請看圖3-C-7、圖3-C-8和圖3-C-

16、9，圖3-C-7 T5的響應(yīng)報文圖3-C-8 T6的響應(yīng)報文圖3-C-9 T7的響應(yīng)報文從以上3個圖可以看出，T5、T6、T7響應(yīng)報文的IP_ID分別為：16553、16554、16555，顯然它們的差值小于10所以CI=I，這與nmap的打印結(jié)果一致。下面計算II：由于II需要IE探測包的響應(yīng)報文，那么我們就先找到兩個IE探測包，使用如下wireshark過濾參數(shù)：ip.addr=34&icmp得到如圖3-C-10的結(jié)果圖3-C-10 IE探測包及其響應(yīng)報文下面我們得到兩個IE探測包響應(yīng)報文的截圖，如圖3-C-11和圖3-C-12圖3-C-11 第一個IE探測包響應(yīng)報

17、文圖3-C-12第二個IE探測包響應(yīng)報文由以上兩個圖可以看出IP_ID分別為，16546、16547，所以它們的差值為1，小于10，所以II=I，這與nmap的打印結(jié)果一致。下面計算SS：探測SEQ響應(yīng)報文（圖3-C-2中有響應(yīng)的序列號）的IP_ID分別為：16538、16541、16542、16543、16544、16545，那么有：Agv=（16545-16538）/（6-1）=1.4；又由于第一個icmp響應(yīng)報文IP_ID為16546，所以1654616545+3*1.4，所以SS=S，這與nmap的打印結(jié)果一致。其實，這個結(jié)果根本不用算，因為icmp的IP_ID為16546，最后一個t

18、cp的IP_ID為16545，這正好是連續(xù)的。下面計算TS：我們先看看Packet #1的響應(yīng)報文，如圖3-C-13圖3-C-13 Packet#1的響應(yīng)報文由圖3-C-13可知，此報文TSval為0，所以TS=0，這與nmap的打印結(jié)果一致。即：SEQ(SP=109%GCD=1%ISR=10F %TI=I%CI=I%II=I%SS=S%TS=0)d) OPS行由于前面我們已經(jīng)找到了所有的Packet#1-Packet#6，這里就不在全部截圖了，而只給一個例子，Packet#1的響應(yīng)報文如圖3-D-1所示圖3-D-1Packet#1響應(yīng)報文的ops所以可得：O1=M5B4NW0NNT00NNS

19、；同理可得：O2=M5B4NW0NNT00NNS；O3=M5B4NW0NNT00；04=M5B4NW0NNT00NNS；O5=M5B4NW0NNT00NNS；O6=M5B4NNT00NNS；這個結(jié)果與nmap的打印結(jié)果完全一致。即：OPS(O1=M5B4NW0NNT00NNS%O2=M5B4NW0NNT00NNS%O3=M5B4NW0NNT00%O4=M5B4NW0NNT00NNS%O5=M5B4NW0NNT00NNS%O6=M5B4NNT00NNS) e) WIN行由于前面我們已經(jīng)找到了所有的Packet#1-Packet#6，這里就不在全部截圖了，而只給一個例子，Packet#1的響應(yīng)報文

20、如圖3-E-1所示圖3-E-1 Packet#1響應(yīng)報文的windows size由圖3-E-1可得：W1=FFFF；同理可得：W2=FFFF；W3=FFFF；W4=FFFF；W5=FFFF；W6=FFFF；這與nmap的打印結(jié)果完全相同。即：WIN(W1=FFFF%W2=FFFF%W3=FFFF%W4=FFFF%W5=FFFF%W6=FFFF)f) ECN行我們首先找到ECN CWR報文，利用以下wireshark的過濾參數(shù)：ip.addr=34&tcp.flags.syn&tcp.window_size=3得到如圖3-F-1所示的結(jié)果：圖3-F-1 找到ECN CW

21、R報文由圖3-F-1可知，ECN CWR報文的序列號為2072，下面我們定位其響應(yīng)報文，如圖3-F-2所示下面計算R：由圖3-F-2可知，ECN CWR報文由響應(yīng)報文，所以R=Y，這與nmap的打印信息一致。下面計算DF：由圖3-F-2可知，DF標(biāo)志位置1，所以DF=Y，這與nmap的打印信息一致。下面計算T：由于掃描的是局域網(wǎng)內(nèi)的計算機(jī)，所以受到對方的IP數(shù)據(jù)包中的TTL即為初始TTL，由圖3-F-2可以看到TTL=128，也就是十六進(jìn)制的80，所以T=80，這與nmap的打印結(jié)果一致。圖3-F-2 ECN CWR報文的響應(yīng)報文下面計算W：由圖3-F-2可知windows size為6553

22、5，即十六進(jìn)制的0Xffff，所以W=ffff，這與nmap的打印結(jié)果一致。下面計算O：由圖3-F-2的ops字段可知：O=M5B4NW0NNS這與nmap的打印結(jié)果一致。下面計算CC：由圖3-F-2的tcp頭部的flag字段可知ECE與CWR字段均沒有置位，所以CC=N，這與nmap的打印結(jié)果一致。下面計算Q：由于ECN、CWR以及URG均沒有置位，所以根本不會存在文檔中所說的所謂的巧合，所以Q什么值都沒有雞Q=，這與nmap的打印結(jié)果一致。即：ECN(R=Y%DF=Y%T=80%W=FFFF%O=M5B4NW0NNS%CC=N%Q=)g) T1行T1即為Packet#1，由于我們在前面已經(jīng)

23、找到了Packet#1報文，下面我們只給出其響應(yīng)報文，如圖3-G-1所示圖3-G-1 T1響應(yīng)報文下面計算R：由圖3-G-1可知T1有響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)果一致。下面計算DF：由圖3-G-1可知DF被置位，所以DF=Y，這與nmap的打印結(jié)果一致。下面計算T：由圖3-G-1可知TTL=128,也就是十六進(jìn)制的80，所以T=80，這與nmap的打印結(jié)果一致。下面計算S：下面我們把圖3-G-1中的sequence number做一個特寫，如圖3-G-2所示圖3-G-2 T1的響應(yīng)報文的sequence number我們還要知道請求報文，即T1的acknowledgement

24、number，如圖3-G-3所示：由圖3-G-2可知T1響應(yīng)報文的sequence number為0X54f7491f，而由圖3-G-3可知T1的acknowledgement number為0Xefd97016，所以S=O，這與nmap的打印結(jié)果一致。圖3-G-3 T1的acknowledgement number下面計算A：從圖3-G-3可知T1的sequence number為0Xa8975c01，且由圖3-G-2可知T1的響應(yīng)報文的acknowledgement number為0Xa8975c02，因此ack為syn+1，即A=S+，這與nmap的打印結(jié)果一致。下面計算F：由圖3-G-

25、2可知，T1響應(yīng)報文的tcp的flags字段syn和ack被置位，所以F=AS，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-G-2可知，T1響應(yīng)報文的tcp層根本沒有攜帶用戶層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-G-2可知，T1響應(yīng)報文的tcp頭的flags字段的ECN、CWR以及URG字段均沒有置位，所以Q的置位空，即Q=，這與nmap的打印結(jié)果一致。即：T1(R=Y%DF=Y%T=80%S=O%A=S+%F=AS%RD=0%Q=)h) T2行下面我們找到T2報文，通過過濾參數(shù)：ip.addr=34&tcp.flags=0，可以

26、得到如圖3-H-1圖3-H-1 T2報文全貌由圖3-H-1可知，T1報文的序列號為2074，下面我們找到其響應(yīng)報文，如圖3-H-2所示下面計算R：由圖3-H-2可知，T2報文有響應(yīng)報文，所以R=Y，這與nmap的打印信息一致。下面計算DF：由圖3-H-2可知，T2的響應(yīng)報文的IP頭的flags字段的DF沒有置位，即DF=N，這與打印結(jié)果一致。圖3-H-2 T2響應(yīng)報文全貌下面計算T：由圖3-H-2可知，T2響應(yīng)報文的TTL為128，由于是在局域網(wǎng)中測試的，所以TTL的值即為T的值，即T=80（十六進(jìn)制），這與nmap的打印信息一致。下面計算W：由圖3-H-2可知，T2響應(yīng)報文的widows s

27、ize為0，即W=0，這與nmap的打印結(jié)果一致。下面計算S：由圖3-H-2可知，T2響應(yīng)報文的sequence number為0，所以S=Z，這與nmap的打印結(jié)果一致。下面計算A：由圖3-H-1可知，T2報文的sequence number為0Xa8975c01，而由圖3-H-2可知，T2響應(yīng)報文的acknowledgement number也為0Xa8975c01，所以A=S，這與nmap的打印結(jié)果一致。下面計算F：由圖3-H-2可知，T2響應(yīng)報文的tcp頭部flags字段RST與ACK字段被置位，所以F=AR，這與nmap的打印結(jié)果一致。下面計算O：由圖3-H-2可知，T2響應(yīng)報文的t

28、cp頭部的ops字段沒有數(shù)據(jù)，所以O(shè)為空，即O=，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-H-2可知，T2的響應(yīng)報文tcp層根本沒有攜帶用戶層的數(shù)據(jù)，因此RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-H-2可知，T2的響應(yīng)報文的tcp頭部的flags的ECN、CWR以及URG均沒有置位，所以Q為空，即Q=，這與nmap的打印結(jié)果一致。即：T2(R=Y%DF=N%T=80%W=0%S=Z%A=S%F=AR%O=%RD=0%Q=)i) T3行首先我們找到T3報文，T3報文就在T2報文的下面，T3報文如圖3-I-1所示，而T3的響應(yīng)報文如圖3-I-2所示。下面計算R：由圖3-I

29、-2可知，T3報文有響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)果一致。下面計算DF：由圖3-I-2可知，T3響應(yīng)報文的IP頭的flags字段的DF被置位，所以DF=Y，這與nmap的打印結(jié)果一致。下面計算T：由圖3-I-2可知，T3響應(yīng)報文的IP頭的TTL字段的值為128，即十六進(jìn)制的0X80，由因為對方主機(jī)與掃描主機(jī)在同一個局域網(wǎng)，所以T也為128，即T=80，這與nmap的打印結(jié)果一致。下面計算W：由圖3-I-2可知，T3響應(yīng)報文的tcp頭部的windows size字段的值為65535，即十六進(jìn)制的0Xffff，所以W=ffff，這與nmap的打印結(jié)果一致。下面計算S：由圖3-I-1可知

30、，T3報文的acknowledgement number字段值為0Xefd97016，而由圖3-I-2可知，T3響應(yīng)報文的sequence number字段值為0Xfcd729be，所以S=O，這與nmap的打印結(jié)果一致。圖3-I-1 T3報文全貌下面計算A：由圖3-I-1可知，T3報文的sequence number值為0Xa8975c01，且由圖3-I-2可知T3響應(yīng)報文的acknowledgement number的值為0Xa8975c02，所以A=S+，這與nmap的打印結(jié)果一致。下面計算F：由圖3-I-2可知，T3響應(yīng)報文的tcp頭部的flags字段的syn、ack均被置位，所以F=

31、AS，這與nmap的打印結(jié)果一致。下面計算O；由圖3-I-2中的T3響應(yīng)報文的tcp頭部的ops字段可知：O=M5B4NW0NNT00NNS這與nmap的打印結(jié)果一致。圖3-I-2 T3的響應(yīng)報文下面計算RD：由圖3-I-2可知，T3響應(yīng)報文的tcp層根本沒有攜帶用戶層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-I-2可知，T3的響應(yīng)報文的tcp頭部的flags的ECN、CWR以及URG均沒有置位，所以Q為空，即Q=，這與nmap的打印結(jié)果一致。即：T3(R=Y%DF=Y%T=80%W=FFFF%S=O%A=S+%F=AS%O=M5B4NW0NNT00NNS%RD=0

32、%Q=)j) T4行首先我們找到T4報文，T4報文就在T3報文的下面，T4報文如圖3-J-1所示，而T4的響應(yīng)報文如圖3-J-2所示。圖3-J-1 T4報文全貌下面計算R：由圖3-J-2可知，T4報文有響應(yīng)報文，所以R=Y，這與nmap的打印信息一致。下面計算DF:由圖3-J-2可知，T4響應(yīng)報文的IP頭部的flags字段中的DF沒有置位，所以DF=N，這與nmap的打印結(jié)果一致。下面計算T：由圖3-J-2可知，T4的響應(yīng)報文的IP頭部的TTL字段的值為128，即十六進(jìn)制的0X80，又由于對方主機(jī)與掃描主機(jī)在同一個局域網(wǎng)，所以T=80，這與nmap的打印結(jié)果一致。下面計算W：由圖3-J-2可知

33、，T4響應(yīng)報文的tcp頭部的windows size的值為0，所以W=0，這與nmap的打印結(jié)果一致。下面計算S：由圖3-J-1可知，T4報文的tcp頭部的acknowledgement number為0Xefd97016；且由圖3-J-2可知，T4響應(yīng)報文的tcp頭部的sequence number也為0Xefd97016，所以S=A，這與nmap的打印結(jié)果一致。下面計算A：由圖3-J-1可知，T4報文的tcp頭部的sequence number為0Xa8975c01；而由圖3-J-2可知，T4響應(yīng)報文的tcp頭部的acknowledgement number為0Xefd97016，所以A=

34、O，這與nmap的打印結(jié)果一致。下面計算F：由圖3-J-2可知，T4響應(yīng)報文的tcp頭部的flags字段的RST被置位，所以F=R，這與nmap的打印結(jié)果一致。下面計算O：由圖3-J-2可知，T4響應(yīng)報文的tcp的ops字段沒有數(shù)據(jù)，所以O(shè)的置位空，即O=，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-J-2可知，T4響應(yīng)報文的tcp層沒有攜帶用戶層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-J-2可知，T4響應(yīng)報文的tcp頭部的flags字段中的ECN、CWR以及URG都沒有置位，所以Q的值為空，即Q=，這與nmap的打印結(jié)果一致。即：T4(R=Y%DF=N%T

35、=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)圖3-J-2 T4響應(yīng)報文全貌k) T5行首先我們找到T5報文，T5報文就在T4報文的后面，T5報文如圖3-K-1所示，然后再找到T5報文的響應(yīng)報文，如圖3-K-2。下面計算R：由圖3-K-2可知，T5報文有響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)果一致。下面計算DF：由圖3-K-2可知，T5響應(yīng)報文的IP頭部的flags字段的DF位沒有被置位，所以DF=N，這與nmap的打印結(jié)果一致。下面計算T：由圖3-K-2可知，T5響應(yīng)報文的IP頭部的TTL字段的值為128，即十六進(jìn)制的0X80，而對方的主機(jī)與掃描主機(jī)在同一個局域網(wǎng)內(nèi)，所以

36、T也為128，即T=80，這與nmap的打印結(jié)果一致。下面計算W：由圖3-K-2可知，T5響應(yīng)報文的tcp頭部的windows size的值為0，所以W=0，這與nmap的打印結(jié)果一致。下面計算S：由圖3-K-2可知，T5響應(yīng)報文的tcp頭部的sequence number的值為0，所以S=Z，這與nmap的打印結(jié)果一致。下面計算A：由圖3-K-1可知，T5報文的tcp頭部的sequence number的值為0Xa8975c01；且由圖3-K2可知，T5響應(yīng)報文的acknowledgement number的值為0Xa8975c02,所以A=S+，這與nmap的打印結(jié)果一致。圖3-K-1 T

37、5報文全貌圖3-K-2 T5響應(yīng)報文的全貌下面計算F：由圖3-K-2可知，T5響應(yīng)報文的tcp頭部的flags字段的RST和ACK被置位，所以F=AR，這與nmap的打印結(jié)果一致。下面計算O：由圖3-K-2可知，T5響應(yīng)報文的tcp的ops字段沒有數(shù)據(jù)，所以O(shè)值為空，即O=，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-K-2可知，T5響應(yīng)報文的tcp層沒有攜帶用戶層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-K-2可知，T5響應(yīng)報文的tcp頭部的flags字段的ECN、CWR以及URG都沒有置位，所以Q的值為空，即Q=，這與nmap的打印結(jié)果一致。即：T5(R=

38、Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)l) T6行我們先找到T6報文，T6報文就在T5報文的后面，T6報文如圖3-L-1所示，然后找到T6的響應(yīng)報文如圖3-L-2所示。圖3-L-1 T6報文的全貌下面計算R：由圖3-L-2可知，T6報文有響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)果一致。下面計算DF：由圖3-L-2可知，T6響應(yīng)報文的IP頭部的flags字段的DF未被置位，所以DF=N，這與nmap的打印結(jié)果一致。圖3-L-2 T6響應(yīng)報文的全貌下面計算T：由圖3-L-2可知，T6響應(yīng)報文的IP頭部的TTL字段的值為128，即十六進(jìn)制的0X80，又由

39、于被掃描主機(jī)與掃描主機(jī)在同一個局域網(wǎng)中，所以T=80，這與nmap的打印結(jié)果一致。下面計算W：由圖3-L-2可知，T6響應(yīng)報文的tcp頭部的windows size的值為0，所以W=0這與nmap的打印結(jié)果一致。下面計算S：由圖3-L-1可知，T6報文的tcp頭部的acknowledgement number的值為0Xefd97016；且由圖3-L-2可知，T6響應(yīng)報文的tcp頭部的sequence number的值也為0Xefd97016，所以S=A，這與nmap的打印結(jié)果一致。下面計算A：由圖3-L-1可知，T6報文的tcp頭部的sequence number的值為0Xa8975c01；而

40、由圖3-L-2可知，T6響應(yīng)報文的tcp頭部的acknowledgement number的值為0Xefd97016，所以A=O，這與nmap的打印結(jié)果一致。下面計算F：由圖3-L-2可知，T6響應(yīng)報文的tcp頭部的flags字段的RST被置位，所以F=R，這與nmap的打印結(jié)果一致。下面計算O：由圖3-L-2可知，T6響應(yīng)報文的tcp頭部的ops字段沒有數(shù)據(jù)，所以O(shè)為空，即O=，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-L-2可知，T6響應(yīng)報文的tcp層沒有攜帶用戶層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-L-2可知，T6響應(yīng)報文的tcp的頭部的flag

41、s字段的ECN、CWR以及URG都沒有置位，所以Q的值為空，即Q=，這與nmap的打印結(jié)果一致。即：T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)m) T7行我們首先找到T7報文，T7報文就在T6報文的后面，T7報文如圖3-M-1所示，然后找到T7的響應(yīng)報文，如圖3-M-2所示。下面計算R：由圖3-M-2可知，T7報文有響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)果一致。下面計算DF：由圖3-M-2可知，T7響應(yīng)報文的IP頭部的flags字段的DF位沒有被置位，所以DF=N，這與nmap的打印結(jié)果一致。下面計算T：由圖3-M-2可知，T7響應(yīng)報文的IP頭

42、部的TTL的值為128，即十六進(jìn)制的0X80，又由于被掃描主機(jī)和掃描主機(jī)在同一個局域網(wǎng)之內(nèi)，所以T=TTL=80，這與nmap的打印結(jié)果一致。下面計算W：由圖3-M-2可知，T7響應(yīng)報文的tcp頭部的windows size 字段的值為0，所以W=0，這與nmap的打印結(jié)果一致。圖3-M-1 T7報文全貌下面計算S：由圖3-M-2可知，T7響應(yīng)報文的tcp頭部的sequence number字段的值為0，所以S=Z，這與nmap的打印結(jié)果一致。下面計算A：由圖3-M-1可知，T7報文的tcp頭部的sequence number字段的值為0Xa8975c01；且由圖3-M-2可知，T7報文的tc

43、p頭部的acknowledgement number字段的值為0Xa8975c02，所以A=S+，這與nmap的打印結(jié)果一致。下面計算F：由圖3-M-2可知，T7響應(yīng)報文的tcp頭部的flags字段的RST與ACK被置位，所以F=AR，這與nmap的打印結(jié)果一致。圖3-M-2 T7響應(yīng)報文全貌下面計算O：由圖3-M-2可知，T7響應(yīng)報文的tcp頭部沒有ops字段，所以O(shè)的值為空，即O=，這與nmap的打印結(jié)果一致。下面計算RD：由圖3-M-2可知，T7響應(yīng)報文的tcp層沒有攜帶應(yīng)用層的數(shù)據(jù)，所以RD=0，這與nmap的打印結(jié)果一致。下面計算Q：由圖3-M-2可知，T7響應(yīng)報文的tcp頭部的fl

44、ags字段的ECN、CWR以及URG都沒有置位，所以Q的值為空，即Q=，這與nmap的打印結(jié)果一致。即：TOS:7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)n) U1行首先我們找到UDP數(shù)據(jù)包U1，使用過濾參數(shù)：ip.addr=34&udp，結(jié)果如圖3-N-1所示圖3-N-1 U1數(shù)據(jù)包全貌由圖3-N-1可知，對方應(yīng)答U1數(shù)據(jù)包的是一個報告目的端口不可達(dá)的icmp報文，icmp報文如圖3-N-2所示。圖3-N-2 響應(yīng)U1的icmp報文下面計算R：由圖3-N-2可知，U1包有icmp響應(yīng)報文，所以R=Y，這與nmap的打印結(jié)

45、果一致。下面計算DF：由圖3-N-2可知，U1響應(yīng)報文（icmp報文）的IP頭部的flags字段的DF沒有置位，所以DF=N，這與nmap的打印結(jié)果一致。下面計算T：由圖3-N-2可知，U1響應(yīng)報文的IP頭部的TTL的值為128，即十六進(jìn)制的0X80，又由于被掃描主機(jī)和掃描主機(jī)在同一個局域網(wǎng)內(nèi)，所以T=TTL=80，這與nmap的打印結(jié)果一致。下面計算IPL：由圖3-N-2可知，U1響應(yīng)報文的IP頭部的total length的值為176，也就是十六進(jìn)制的0Xb0，所以IPL=b0，這與nmap的打印結(jié)果一致。下面計算UN：下面我們給icmp頭部一個特寫，如圖3-N-3所示：圖3-N-3 ic

46、mp圖標(biāo)特寫由圖3-N-3可知，icmp頭部的后4個字節(jié)為零，所以UN=0，這與nmap的打印結(jié)果一致。下面計算RIPL:由圖3-N-2可知，icmp報文內(nèi)部的ip包的total length字段為328，所以RIPL=G，這與nmap的打印結(jié)果一致。下面計算RID：由圖3-N-2可知，icmp報文內(nèi)部的ip包的IP_ID為0X1042，所以RID=G，這與nmap的打印結(jié)果一致。下面計算RIPCK：由于被掃描主機(jī)與掃描主機(jī)是在同一個局域網(wǎng)內(nèi)，所以IP頭部的校驗和不會被路由器改變（因為報文不經(jīng)過路由）。那么我們就可以簡單的比較一下U1包的IP頭校驗和與icmp包內(nèi)部的IP頭校驗和是否相等。由圖

47、3-N-1可知U1包IP頭校驗和為0x25a3，且有圖3-N-2可知icmp包內(nèi)部的IP頭校驗和也為0x25a3，這說明校驗和與IP報文匹配，所以RIPCK=G，這與nmap的打印結(jié)果一致。下面計算RUCK：由圖3-N-1可知，U1的UDP校驗和為0xe237,且由圖3-N-2可知，icmp包中的UDP校驗和也為0xe237，所以RUCK=G，這與nmap的打印結(jié)果一致。下面計算RUD：下面我們給出icmp包返回的UDP數(shù)據(jù)部分的特寫，如圖3-N-4所示圖3-N-4 icmp包中UDP數(shù)據(jù)部分的特寫由圖3-N-4可知，數(shù)據(jù)部分都為0x43（C），所以RUCK=G，這與nmap的打印結(jié)果一致。即

48、：U1(R=Y%DF=N%T=80%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)o) IE行首先我們找到兩個IE探測包，使用如下過濾參數(shù)：ip.addr=34&icmp，結(jié)果如圖3-O-1圖3-O-1 兩個IE探測包及其響應(yīng)報文圖3-O-2 響應(yīng)報文1圖3-O-3 響應(yīng)報文2下面計算R：由圖3-O-1可知，兩個IE探測包都有應(yīng)答包，所以R=Y，這與nmap的打印信息一致。下面計算DFI：首先響應(yīng)報文1如圖3-O-2，響應(yīng)報文2如圖3-O-3由于第一個IE探測報文DF置位，且由圖3-O-2可知其響應(yīng)報文DF也置位；而第二個I

49、E探測報文DF沒有置位，且由圖3-O-3可知其響應(yīng)報文的DF也沒有置位，所以DFI=S，這與nmap的打印結(jié)果一致。下面計算T：由圖3-O-2可知，第一個響應(yīng)報文的iP頭部的TTL字段的值為128，即十六進(jìn)制的0x80。又由于被掃描主機(jī)與掃描主機(jī)在同一個局域網(wǎng)內(nèi)，所以T=TTL=80這與nmap的掃描結(jié)果一致。下面計算CD：由圖3-O-2可知，第一個響應(yīng)報文的icmp頭部的code字段的值為0；且由圖3-O-3可知，第二個響應(yīng)報文的icmp頭部的code字段的值也為0，所以CD=Z，這與nmap的打印結(jié)果一致。即：IE(R=Y%DFI=S%T=80%CD=Z)4 結(jié)論：所以最終的指紋信息為：S

50、EQ(SP=109%GCD=1%ISR=10F %TI=I%CI=I%II=I%SS=S%TS=0)OPS(O1=M5B4NW0NNT00NNS%O2=M5B4NW0NNT00NNS%O3=M5B4NW0NNT00%O4=M5B4NW0NNT00NNS%O5=M5B4NW0NNT00NNS%O6=M5B4NNT00NNS)WIN(W1=FFFF%W2=FFFF%W3=FFFF%W4=FFFF%W5=FFFF%W6=FFFF)ECN(R=Y%DF=Y%T=80%W=FFFF%O=M5B4NW0NNS%CC=N%Q=)T1(R=Y%DF=Y%T=80%S=O%A=S+%F=AS%RD=0%Q=)T2(R=Y%DF=N%T=80%W=0%S=Z%A=S%F=