網(wǎng)絡(luò)空間資產(chǎn)探測(cè)關(guān)鍵技術(shù)研究

0引言隨著網(wǎng)絡(luò)的不斷發(fā)展以及用戶對(duì)網(wǎng)絡(luò)使用需求的急劇增長，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、網(wǎng)絡(luò)空間趨于復(fù)雜。通過網(wǎng)絡(luò)空間資產(chǎn)探測(cè)，可以及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，避免被不法之徒攻擊。在國家把網(wǎng)絡(luò)空間安全概念提升到一個(gè)重要的層次時(shí)，其更顯重要。在網(wǎng)絡(luò)攻防對(duì)抗中，首先得了解網(wǎng)絡(luò)，要了解網(wǎng)絡(luò)空間，就需要對(duì)網(wǎng)絡(luò)空間進(jìn)行資產(chǎn)探測(cè)。網(wǎng)絡(luò)空間資產(chǎn)探測(cè)技術(shù)作為網(wǎng)絡(luò)安全的重要基礎(chǔ)技術(shù)，是通過主動(dòng)或被動(dòng)探測(cè)的方法，來繪制網(wǎng)絡(luò)空間上設(shè)備的網(wǎng)絡(luò)節(jié)點(diǎn)和網(wǎng)絡(luò)連接關(guān)系圖，為網(wǎng)絡(luò)設(shè)備進(jìn)行畫像。近年來，網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)已成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)，各國都對(duì)此進(jìn)行了深入研究。如美國國防部先進(jìn)研究項(xiàng)目局（DefenseAdvancedResearchProjectsAgency，DRAPA）驅(qū)動(dòng)的X計(jì)劃，旨在通過快速繪制網(wǎng)絡(luò)戰(zhàn)場(chǎng)地圖，提高國家網(wǎng)絡(luò)戰(zhàn)能力，協(xié)助制定作戰(zhàn)計(jì)劃，促進(jìn)網(wǎng)絡(luò)戰(zhàn)任務(wù)的高效推進(jìn)。美國國土資源部（UnitedStatesDepartmentofHomelandSecurity，DHS）驅(qū)動(dòng)的SHINE計(jì)劃，通過Shodan等網(wǎng)絡(luò)空間掃描引擎監(jiān)控美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源的安全狀態(tài)，在本地網(wǎng)絡(luò)空間地址列表上進(jìn)行安全態(tài)勢(shì)感知，并定期向工業(yè)控制系統(tǒng)應(yīng)急小組（IndustrialControlSystemsCyberEmergencyResponseTeam，ICS-CERT）推送安全通知，確保關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的安全。我國目前也已在進(jìn)行相關(guān)方面的研究。我國已經(jīng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間網(wǎng)際互連協(xié)議（InternetProtocol，IP）地址的掃描，達(dá)到資源探測(cè)的目的，且能夠?qū)γ總€(gè)IP地址的資源進(jìn)行識(shí)別。但相較于目前國外的技術(shù)能力，還需進(jìn)一步突破基于指紋比對(duì)的網(wǎng)絡(luò)組件精準(zhǔn)探測(cè)技術(shù)?；谥讣y庫的網(wǎng)絡(luò)設(shè)備組件識(shí)別技術(shù)，是網(wǎng)絡(luò)空間探測(cè)系統(tǒng)的核心技術(shù)。該技術(shù)可對(duì)設(shè)備的特定端口進(jìn)行請(qǐng)求，判斷端口是否開放，并根據(jù)端口返回信息，并利用自主研制的指紋比對(duì)技術(shù)，結(jié)合自主研制的指紋庫，對(duì)設(shè)備類型及所使用的組件進(jìn)行識(shí)別。在工業(yè)控制服務(wù)探測(cè)方面，國內(nèi)專門針對(duì)網(wǎng)絡(luò)空間工業(yè)控制服務(wù)深度探測(cè)技術(shù)研究起步相對(duì)較晚。目前，通過網(wǎng)絡(luò)的主動(dòng)探測(cè)技術(shù)可以為一些重要的工業(yè)控制系統(tǒng)提供在線監(jiān)測(cè)和識(shí)別能力，并可以支持典型的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（Supervisorycontrolanddataacquisition，SCADA）、可編程邏輯控制器（Programmablelogiccontroller，PLC）等工業(yè)控制系統(tǒng)（設(shè)備），Modbus等工業(yè)控制協(xié)議，以及與工業(yè)控制相關(guān)的通用網(wǎng)絡(luò)服務(wù)。但與國外相比，我國的工業(yè)控制服務(wù)探測(cè)技術(shù)還存在許多問題，如支持工控設(shè)備/協(xié)議等服務(wù)數(shù)量不足、感知深度不足。與網(wǎng)絡(luò)空間大量存在的標(biāo)準(zhǔn)化的信息系統(tǒng)不同，工業(yè)控制系統(tǒng)及相關(guān)服務(wù)存在大量非標(biāo)準(zhǔn)私有的控制協(xié)議組件，或同一種工控協(xié)議存在多個(gè)未公開版本的情況，大多數(shù)工業(yè)控制服務(wù)細(xì)節(jié)掌握在相關(guān)廠家自己手里。目前，我國需要進(jìn)一步對(duì)相關(guān)聯(lián)網(wǎng)特征進(jìn)行深入研究，精準(zhǔn)提取其指紋信息，提供感知廣度和掃描效率。同時(shí)還需要結(jié)合不同網(wǎng)絡(luò)資產(chǎn)特點(diǎn)，加強(qiáng)對(duì)海量聯(lián)網(wǎng)設(shè)備信息高效率掃描、隱蔽式探測(cè)和被動(dòng)式感知等聯(lián)網(wǎng)服務(wù)態(tài)勢(shì)感知技術(shù)的研究，確保全方位、多角度的對(duì)網(wǎng)絡(luò)空間存在的網(wǎng)絡(luò)資產(chǎn)服務(wù)進(jìn)行準(zhǔn)確感知和高效測(cè)繪。本文主要介紹了目前網(wǎng)絡(luò)資產(chǎn)探測(cè)常用方法，歸納和梳理了主動(dòng)探測(cè)的優(yōu)點(diǎn)和缺點(diǎn)，重點(diǎn)分析了網(wǎng)絡(luò)資產(chǎn)探測(cè)技術(shù)所涉及的關(guān)鍵技術(shù)。1基于ICMP存活主機(jī)發(fā)現(xiàn)技術(shù)如果與目標(biāo)主機(jī)處于同一網(wǎng)段，使用地址解析協(xié)議（AddressResolutionProtocol，ARP）掃描技術(shù)就是最佳的選擇。該方法具有速度快，掃描結(jié)果精確的特點(diǎn)，且沒有任何安全措施阻止正常的ARP包。但當(dāng)與目標(biāo)主機(jī)處于不同網(wǎng)段，則考慮使用其他協(xié)議?；ヂ?lián)網(wǎng)中經(jīng)常會(huì)出現(xiàn)各種錯(cuò)誤，為了發(fā)現(xiàn)和處理這些錯(cuò)誤，互聯(lián)網(wǎng)控制報(bào)文協(xié)議（InternetControlMessageProtocol，ICMP）應(yīng)運(yùn)而生。相比APR簡單明了的工作模式，ICMP則要復(fù)雜很多，但I(xiàn)CMP同樣是互聯(lián)網(wǎng)中不可或缺的協(xié)議。ICMP協(xié)議位于傳輸控制協(xié)議/網(wǎng)際互連協(xié)議（TransmissionControlProtocol/InternetProtocol，TCP/IP）族中的網(wǎng)絡(luò)層，它的目的是在IP主機(jī)、路由器之間傳遞控制消息。同樣這種協(xié)議也可以用來實(shí)現(xiàn)存活主機(jī)發(fā)現(xiàn)。表1ICMP報(bào)文類型從表1可以看出，ICMP的報(bào)文可以分為差錯(cuò)和查詢兩類。查詢報(bào)文是用一對(duì)請(qǐng)求和應(yīng)答定義的。也就是說，主機(jī)A為了獲得一些信息，可以向主機(jī)B發(fā)送ICMP數(shù)據(jù)包，主機(jī)B在收到這個(gè)數(shù)據(jù)包之后，會(huì)給出應(yīng)答。這一點(diǎn)正好符合本文進(jìn)行存活主機(jī)掃描的要求，所以這里的ICMP存活主機(jī)發(fā)現(xiàn)技術(shù)使用的就是查詢報(bào)文。1.1利用ICMP響應(yīng)請(qǐng)求和應(yīng)答探測(cè)存活主機(jī)響應(yīng)請(qǐng)求和應(yīng)答是用來測(cè)試發(fā)送與接收兩端鏈路及目標(biāo)主機(jī)TCP/IP協(xié)議是否正常，只要接收就是正常。日常使用最多的ping命令就是利用了響應(yīng)請(qǐng)求和應(yīng)答。主機(jī)A向主機(jī)B發(fā)送ICMP報(bào)文，如果途中沒有異常，則主機(jī)B返回ICMP報(bào)文，說明主機(jī)B為存活主機(jī)。但ping工具使用率較高，所以許多用于防護(hù)主機(jī)的防火墻設(shè)備都隔絕ICMP數(shù)據(jù)通過。1.2通過時(shí)間戳請(qǐng)求和應(yīng)答進(jìn)行存活主機(jī)探測(cè)由于Ping方式被很多網(wǎng)絡(luò)屏蔽，因此另尋他法。ICMP時(shí)間戳請(qǐng)求允許系統(tǒng)查詢另一個(gè)系統(tǒng)的當(dāng)前時(shí)間，返回的建議值是自午夜起的毫秒數(shù)，即協(xié)調(diào)世界時(shí)（CoordinatedUniversalTime，UTC）。如果想知道B主機(jī)是否在線，還可以向B主機(jī)發(fā)送一個(gè)ICMP時(shí)間戳請(qǐng)求，如果得到應(yīng)答的話就可以視為B主機(jī)在線。當(dāng)然，其實(shí)數(shù)據(jù)包內(nèi)容并不重要，重要的是是否收到了回應(yīng)。1.3通過ICMP地址掩碼進(jìn)行存活主機(jī)探測(cè)ICMP地址掩碼請(qǐng)求由源主機(jī)發(fā)送給無盤系統(tǒng)，以便在啟動(dòng)過程中獲得自己的子網(wǎng)掩碼。盡管互聯(lián)網(wǎng)工程任務(wù)組（theInternetEngineeringTaskForce，IETF）發(fā)布的一系列備忘錄（RequestForComments，RFC）規(guī)定除非系統(tǒng)是地址掩碼的授權(quán)代理，否則它不能發(fā)送地址掩碼響應(yīng)。但是，大多數(shù)主機(jī)在收到請(qǐng)求時(shí)都會(huì)發(fā)送響應(yīng)。如果想知道主機(jī)B是否在線，您還可以向主機(jī)B發(fā)送ICMP掩碼地址請(qǐng)求，如果您得到響應(yīng)，可以視作主機(jī)B在線。2基于TCP存活主機(jī)發(fā)現(xiàn)技術(shù)TCP協(xié)議是一種可靠的傳輸協(xié)議，連接到TCP/IP協(xié)議套件中的各層允許以字節(jié)流的形式發(fā)送和接收數(shù)據(jù)。為了使服務(wù)器和客戶機(jī)以不同的速度生成和使用數(shù)據(jù)，TCP提供了發(fā)送和兩個(gè)接收服務(wù)。此外，TCP提供全雙工服務(wù)，數(shù)據(jù)同時(shí)能雙向流動(dòng)。通信的每一方都有兩個(gè)緩沖器來發(fā)送和接收數(shù)據(jù)。TCP向消息中添加一個(gè)漸進(jìn)式確認(rèn)序列號(hào)，以告訴發(fā)送方接收方希望接收下一個(gè)字節(jié)。如果在指定的時(shí)間內(nèi)沒有收到確認(rèn)信息，則會(huì)再次發(fā)送數(shù)據(jù)包，從而確保TCP是可靠的傳輸層協(xié)議。通常，Ping掃描使用TCPACK和ICMPEcho請(qǐng)求來響應(yīng)目標(biāo)是否存活。當(dāng)目標(biāo)主機(jī)的防火墻阻止這些請(qǐng)求時(shí)，可以使用TCPSYNPing掃描來判斷目標(biāo)主機(jī)是否處于存活狀態(tài)，但在某些情況下，防火墻會(huì)丟棄RST包。在這種情況下，掃描結(jié)果將不準(zhǔn)確。此時(shí)，需要指定一個(gè)端口或端口范圍，以避免這種情況。TCPACKPing掃描與TCPSYNPing掃描是非常類似的，唯一的區(qū)別是設(shè)置TCP的標(biāo)志位是ACK而不是SYN。此探測(cè)方法可以探測(cè)阻止SYN數(shù)據(jù)包或ICMP回顯請(qǐng)求的主機(jī)。雖然許多防火墻將阻止SYN數(shù)據(jù)包，但是TCPACKPing掃描和TCPSYNPing掃描的結(jié)合可以大大提高通過防火墻的概率。發(fā)送1個(gè)ACK標(biāo)志的TCP包給目標(biāo)主機(jī)，如果目標(biāo)主機(jī)不是存活狀態(tài)則不響應(yīng)該請(qǐng)求，如果目標(biāo)主機(jī)在線則會(huì)返回一個(gè)RST包。3基于UDP存活主機(jī)發(fā)現(xiàn)技術(shù)用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol，UDP）也是一個(gè)位于傳輸層的協(xié)議，它完成的工作與TCP是相同的。然而，由于UDP協(xié)議是非面向連接導(dǎo)向的，UDP端口的探測(cè)不能像TCP端口的探測(cè)那樣依賴于連接建立過程，也就是說，不能嘗試telnet等TCP協(xié)議類型命令，這也導(dǎo)致了UDP端口掃描的可靠性不高。因此，雖然UDP協(xié)議比TCP協(xié)議簡單，但是掃描UDP端口是相當(dāng)困難的。當(dāng)一個(gè)UDP端口收到一個(gè)UDP數(shù)據(jù)包時(shí)，如果該端口關(guān)閉，它將向發(fā)送端回一個(gè)ICMP端口無法訪問的數(shù)據(jù)包；如果它是開放的，它將忽略數(shù)據(jù)包，也就是說，它將被丟棄而不返回任何信息。這樣做的好處是可以完成對(duì)UDP端口的探測(cè)，但缺點(diǎn)是掃描結(jié)果的可靠性相對(duì)較低。因?yàn)楫?dāng)一個(gè)UDP數(shù)據(jù)包被發(fā)送而沒有收到響應(yīng)時(shí)，可能是因?yàn)閁DP端口打開了，也可能是因?yàn)閿?shù)據(jù)包在傳輸過程中丟失了。此外，掃描速度非常慢。原因是RFC1812限制了ICMP錯(cuò)誤消息的生成速度。例如，Linux將ICMP數(shù)據(jù)包的生成速率限制為每4s80次。當(dāng)超過此限制時(shí)，它將暫停1/4s。4端口、服務(wù)本掃描端口探測(cè)根據(jù)協(xié)議劃分可以分為TCP端口探測(cè)和UDP端口探測(cè)。由于TCP技術(shù)相對(duì)UDP技術(shù)要復(fù)雜一些，所以TCP的探測(cè)手段也比UDP多。圖1為端口掃描的方式。圖1端口掃描方法其中，同步序列編號(hào)（SynchronizeSequenceNumbers，SYN）掃描是最為流行的一種掃描方式，掃描方式速度極快，可以在一秒鐘掃描上千個(gè)端口，SYN掃描也不容易被網(wǎng)絡(luò)中的安全設(shè)備所發(fā)現(xiàn)。如圖3所示為服務(wù)及版本探測(cè)探測(cè)流程圖。在探測(cè)流程中，先執(zhí)行端口探測(cè)，端口探測(cè)同時(shí)也是服務(wù)和版本探測(cè)的基礎(chǔ)，通過端口探測(cè)可以排除離線網(wǎng)絡(luò)設(shè)備和關(guān)閉的端口，從而縮小了后續(xù)探測(cè)任務(wù)的規(guī)模，提高識(shí)別效率。本文采用基于半連接TCPSYN的方法，如圖2所示。其掃描原理是向目標(biāo)主機(jī)的端口發(fā)送SYN包請(qǐng)求連接，目標(biāo)接收到SYN包后用SYN/ACK響應(yīng)，探測(cè)主機(jī)接收到SYN/ACK斷開連接后用RST包請(qǐng)求代替ACK響應(yīng)。這樣，三方握手就沒有完成，無法建立正常的TCP連接。因此，此掃描不會(huì)記錄在系統(tǒng)日志中，且這種掃描技術(shù)通常不會(huì)在目標(biāo)主機(jī)上留下掃描痕跡。圖2半連接TCPSYN掃描原理服務(wù)和版本探測(cè)是通過服務(wù)Banner信息進(jìn)行指紋比對(duì)，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)空間中的服務(wù)和版本的識(shí)別。由于每種服務(wù)都有著不同的Banner信息，因此可以對(duì)服務(wù)和版本探測(cè)進(jìn)行識(shí)別?？蛻舳伺c服務(wù)器連接后，服務(wù)器會(huì)向客戶端反饋一些信息，這些信息中可能包含所需的服務(wù)和版本信息。在數(shù)據(jù)處理過程中對(duì)掃描的IP地址和端口數(shù)據(jù)進(jìn)行分類。分類是將具有相同開放端口的IP地址分類為1個(gè)類別，然后針對(duì)每個(gè)類別，使用多線程方法分別執(zhí)行服務(wù)和版本探測(cè)。在服務(wù)和版本探測(cè)中，通過端口來判斷某些服務(wù)是不準(zhǔn)確的，因?yàn)榉?wù)可以通過端口映射來改變。banner信息使用軟件本身返回的信息為服務(wù)和版本探測(cè)提供基礎(chǔ)。信息的差異可以幫助完成對(duì)網(wǎng)絡(luò)中服務(wù)和版本的探測(cè)。在這個(gè)過程中，由于需要記錄發(fā)送數(shù)據(jù)包的狀態(tài)信息，所以需要使用傳統(tǒng)的探測(cè)方法來探測(cè)整個(gè)過程中的服務(wù)和版本。完成端口掃描后，如果開放端口為TCP端口，先建立連接并等待6s，一些常見的服務(wù)如FTP、SSH等則會(huì)發(fā)送一些banner信息，這個(gè)過程稱為空探針。將收到的banner信息和服務(wù)指紋進(jìn)行匹配，假如服務(wù)完全匹配成功，則該端口的服務(wù)識(shí)別到此結(jié)束，如果未成功則繼續(xù)掃描。空探針匹配失敗或者UDP探測(cè)端口，則會(huì)按照指紋順序進(jìn)行探測(cè)和識(shí)別。如果都匹配失敗，則判斷指紋中是否有回退指令，并按照回退指令發(fā)送探測(cè)包，并利用響應(yīng)數(shù)據(jù)進(jìn)行指紋匹配，直到匹配指紋結(jié)束。圖3服務(wù)及版本探測(cè)探測(cè)流程５操作系統(tǒng)掃描操作系統(tǒng)探測(cè)是根據(jù)應(yīng)用層獲取的banner信息和TCP/IP指紋特征探測(cè)操作系統(tǒng)。根據(jù)應(yīng)用層獲取的banner信息，可以直接獲取一些終端設(shè)備的操作系統(tǒng)。當(dāng)banner與指紋匹配時(shí)，就可以完成對(duì)這部分設(shè)備的操作系統(tǒng)探測(cè)。例如，可以根據(jù)一些Web服務(wù)的HTTP報(bào)頭信息來獲取操作系統(tǒng)的具體信息。操作系統(tǒng)的探測(cè)可以分為兩類：傳統(tǒng)的操作系統(tǒng)識(shí)別技術(shù)和基于TCP/IP協(xié)議棧指紋的操作系統(tǒng)識(shí)別技術(shù)。傳統(tǒng)的操作系統(tǒng)標(biāo)識(shí)又分為兩類：一種是使用操作系統(tǒng)提供的Telnet、文件傳輸協(xié)議（FileTransferProtocol，F(xiàn)TP）和Ping。當(dāng)客戶端使用Telnet和FTP命令時(shí)，服務(wù)器返回包含操作系統(tǒng)類型的特定信息，另一種是通過Ping探測(cè)目標(biāo)主機(jī)操作系統(tǒng)的方法，根據(jù)返回的生存時(shí)間（TimeToLive，TTL）值確定操作系統(tǒng)的類型，因?yàn)門CP協(xié)議棧在通信時(shí)沒有指定TTL跳轉(zhuǎn)值。不同的操作系統(tǒng)中，TTL值是不同的，如表2所示。通過TTL判斷操作系統(tǒng)的方法雖然簡單，但是TTL的值是可以進(jìn)行更改的，所以結(jié)果可信度不高。表2常用操作系統(tǒng)的TTL和窗口大小目前，應(yīng)用最廣泛的操作系統(tǒng)識(shí)別方法是基于TCP/IP協(xié)議棧指紋的，因?yàn)門CP/IP協(xié)議棧的設(shè)計(jì)不同，可以利用這些不同的特征來識(shí)別操作系統(tǒng)。一般分為主動(dòng)探測(cè)和被動(dòng)探測(cè)兩種方法。（1）主動(dòng)探測(cè)：客戶端主動(dòng)向目標(biāo)主機(jī)發(fā)送信息。目標(biāo)主機(jī)響應(yīng)此信息并使用一些信息進(jìn)行響應(yīng)。通過分析返回的信息，可以知道遠(yuǎn)程主機(jī)的操作系統(tǒng)類型。這些信息可以等于主機(jī)通過Telnet和FTP等正常網(wǎng)絡(luò)程序交換的信息，也可以是一些精心構(gòu)造的、正常的或不完整的數(shù)據(jù)包。（2）被動(dòng)探測(cè)：并不向目標(biāo)系統(tǒng)發(fā)送任何數(shù)據(jù)包，而是通過各種抓包工具來手機(jī)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)文，再從這些報(bào)文中得到目標(biāo)計(jì)算機(jī)的操作系統(tǒng)信息。主動(dòng)探測(cè)對(duì)探測(cè)IP具有針對(duì)性的特點(diǎn)，而且方便部署，所以在操作系統(tǒng)探測(cè)中較為常用?？梢酝ㄟ^目標(biāo)系統(tǒng)對(duì)探針的不同反應(yīng)，發(fā)現(xiàn)不同操作系統(tǒng)的差異。通過向目標(biāo)主機(jī)發(fā)送特定格式的探針（數(shù)據(jù)包）來查看目標(biāo)主機(jī)的響應(yīng)數(shù)據(jù)，這一過程就是操作系統(tǒng)指紋分析的過程。數(shù)據(jù)包進(jìn)行調(diào)整的部分包括窗口大小、窗口字段、分片標(biāo)識(shí)、時(shí)間戳、序號(hào)以及其他一些細(xì)節(jié)，例如TTL等。主動(dòng)探測(cè)通過發(fā)送多達(dá)16個(gè)探針的操作系統(tǒng)指掃描包，這些探針利用了TCP、UDP、ICMP等各種協(xié)議?；谥鲃?dòng)探測(cè)操作系統(tǒng)識(shí)別流程如下文所述。（1）向目標(biāo)主機(jī)端口連續(xù)發(fā)送6個(gè)帶有SYN標(biāo)志的TCP數(shù)據(jù)包，響應(yīng)數(shù)據(jù)構(gòu)成SEQ、OPS、WIN、T1等指紋特征值。（2）發(fā)送兩個(gè)不同的ICMPecho請(qǐng)求，響應(yīng)數(shù)據(jù)構(gòu)成IE指紋特征值；（3）發(fā)送一個(gè)UDP包給一個(gè)關(guān)閉的端口，響應(yīng)數(shù)據(jù)構(gòu)成U1指紋特征值；（4）發(fā)送帶ECN位的TCP請(qǐng)求，響應(yīng)數(shù)據(jù)構(gòu)成ECN指紋特征值；（5）最后一組是發(fā)送6個(gè)不同的TCP包，這6個(gè)TCP包的響應(yīng)結(jié)果將對(duì)應(yīng)T2到T7的各項(xiàng)指紋特征值，其中T2、T3、T4會(huì)發(fā)給打開的TCP端口，T5、T6、T7會(huì)發(fā)給關(guān)閉的TCP端口；（6）結(jié)果處理。對(duì)返回的數(shù)據(jù)包進(jìn)行計(jì)算和組織，形成向量，然后將生成的向量結(jié)果與指紋數(shù)據(jù)庫文件中的結(jié)果進(jìn)行匹配，以確定被探測(cè)主機(jī)的操作系統(tǒng)類型。這就完成了單個(gè)操作系統(tǒng)的探測(cè)過程。操作系統(tǒng)指紋通過主動(dòng)探測(cè)獲取的TCP/IP響應(yīng)包進(jìn)行指紋抽取，抽取字段主要包括SCAN、SEQ、WIN、ECN、T1~T7、U1和IE等，指紋示例如下文所示。每一次掃描結(jié)果都用%作為分隔符。SCAN字段中顯示的是使用的主機(jī)掃描的信息。其中：D=9/2表示掃描日期；OT=80%CT=7指出在指紋識(shí)別過程中使用的TCP端口；CU=31290指出了在指紋識(shí)別過程中使用的UDP端口；PV=N表示目標(biāo)IP地址不屬于私有地址；DS=4指出了從探測(cè)點(diǎn)到目標(biāo)主機(jī)的距離跳數(shù)；G=Y指出這次掃描效果較好；TM=57C9147B指出掃描所消耗的時(shí)間；P表示探測(cè)主機(jī)的操作系統(tǒng)類型。SEQ字段中：SP=102表示TCP的初始序列號(hào)（ISN）；GCD=1表示TCP的增量；ISR=10C表示ISN的序率；TI=Z給出了SEQ探針回應(yīng)數(shù)據(jù)包中IP頭部的ID值；這里面的Z表示所有IP數(shù)據(jù)包中的id字段都設(shè)置為0；II=I給出了ICMP探針回應(yīng)數(shù)據(jù)包中IP頭部的ID值；TS=7給出了返回的TCP數(shù)據(jù)包時(shí)間戳的信息。OPS字段中：如O1=M5B4表示TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段；ST11表示ACK的可選信息和數(shù)據(jù)包的時(shí)間戳內(nèi)容；N表示為空操作；W0表示窗口大小。WIN字段中的測(cè)試表示6個(gè)探針返回值的初始化窗口大小。ECN字段中：R=Y表示目標(biāo)是否對(duì)探測(cè)端進(jìn)行了回應(yīng)；DF=Y表示IP數(shù)據(jù)包的分段標(biāo)志位是否被設(shè)置；T=40表示回應(yīng)數(shù)據(jù)包IP中的TTL值；W=3354表示TCP初始化窗口的大小信息；O=M5B4NNS表示TCP選項(xiàng)的信息；CC=Y表示目標(biāo)的擁塞控制能力；Y表示目標(biāo)支持ECN。第1個(gè)TCP探針回應(yīng)為T1；第2個(gè)探針是設(shè)置了DF位的內(nèi)容為空的數(shù)據(jù)包。這個(gè)數(shù)據(jù)包