Nmap掃描器使用和分析

1、華中科技大學計算機學院計算機網絡安全實驗報告實驗名稱 nmap掃描器使用和分析 團隊成員：姓 名班 級學 號貢獻百分比得 分王鳳偉is0703u200714945100%注：團隊成員貢獻百分比之和為1email：visual_110教師評語：一 環(huán)境（詳細說明運行的操作系統(tǒng)，網絡平臺，機器的ip地址）操作系統(tǒng) :microsoft windows xp professional service package 3 。網絡平臺：tcp/ip網絡機器ip：4nmap版本：5.21二 實驗目的l 掌握主機、端口掃描的原理l 掌握nmap掃描器的使用l 掌握nmap進行遠程os

2、檢測的原理三. 實驗步驟及結果（包括主要流程和說明）1 安裝nmapa) 安裝界面單擊“iagree”b) 選擇組件 默認安裝，單擊“next”c) 進入安裝單擊“install”后面一路默認設置，最后安裝成功。2 利用nmap掃描d) -ss (tcp syn scan)參數掃描如圖2-1所示圖2-1 -ss掃描2從掃描結果可以看出2開通了11個端口，而且這些端口都是tcp端口，因為syn掃描是基于tcp的。e) -st (tcp connect scan)參數掃描2如圖2-2圖2-2 -st掃描

3、2從中可以看出，-st掃描比-ss掃描多掃出了一個21號端口，對此我用wireshark截了一些包，發(fā)現21號端口只回應了一個rst|ack包，而其余的端口回應了至少三個rst|ack或reset之類的包，因此我判斷有可能-ss與-st判斷端口打開的標準不同，-st對回復一個rst|syn包就認為對方的端口是開著的，而-ss要對方回復多個rst|syn才認為對方的端口是開放的。f) -su (udp scans)參數掃描如圖2-3圖2-3 su參數掃描42由于-su掃描的是udp端口，而且掃描的目標ip為學校的dns服務器，因此一定能掃描到對方的53號端口。g) -sy

4、(sctp init scan)掃描如圖2-4圖2-4 sy參數掃描2由于流控制傳輸協議（sctp）是ietf新定義的一個傳輸層transport layer協議（2000）所以到目前支持的不是很好，所以什么都沒有掃描出來。h) -sn; -sf; -sx (tcp null, fin, and xmas scans)-sn參數掃描如圖2-5-a所示圖2-5-a sn參數掃描2由于對方是windows系列的操作系統(tǒng)所以檢測到端口都是關閉的，但用syn掃描卻發(fā)現對方11個tcp端口。下面我們掃描一個不是windows系列的操作系統(tǒng)，-sf參數掃描如

5、圖2-5-b所示圖2-5-b sf參數掃描對方的主機是ibm aix 5.3 - 6.1，所以像443/tcp等關閉的端口操作系統(tǒng)會返回一個rst|ack，可以被nmap偵測到。其它的966都是open或者filtered。-sx參數掃描如圖2-5-c所示圖2-5-c sx參數掃描這里的掃描結果與-sf的掃描結果一致，原理也基本一致，這里就不再解釋了。i) -sa(tcp ack scan)參數掃描如圖2-6圖2-6 sa參數掃描7由于對方對每個ack報文都回復了rst，所以nmap判斷所有的端口都沒有過濾。j) sw(tcp window scan)參數掃描如圖2-7

6、圖2-7 sw參數掃描2由于對方的所有回復報文均為rst故nmap判斷對方所有端口關閉。k) sm(tcp maimon scan)參數掃描如圖2-8 圖2-8 sm參數掃描2-sm掃描實際是將sck和fin置位，對方以rst應答，nmap判斷對方的所有端口都是開放或者被過濾的。l) so(ip protocol scan)參數掃描如圖2-9 圖2-9 so參數掃描2-so掃描了ip協議相關的配置，如對方開放了icmp協議、tcp協議以及udp協議，而igmp、ip、ipv6、esp以及ah協議被檢測為open|filte

7、red。m) scanflags(custom tcpscan)參數掃描如圖2-10 圖2-10 scanflags 2 參數掃描2-scanflags 2 其實就是syn掃描機-ss所以掃描的結果與-ss（圖2-1）應該基本相同。3 深入了解nmap os指紋庫的結構和含義a) 利用-o參數掃描2如圖3-1-a和3-1-b圖3-a-1 o參數掃描2第一屏圖3-b-2 o參數掃描2第二屏由于使用了-d 參數，所以nmap會打印出匹配的指紋信息，下面我們就討論一下，這些指紋信息是如何計算出來的，以及n

8、map是如何通過指紋庫判斷操作系統(tǒng)的。b) scan行此行反映了掃描的環(huán)境信息，如v=5.21說明nmap的版本是5.21，p=i686-pc-windows-windows說明掃描者的平臺是i686，操作系統(tǒng)是windows系列的。還有一些選項，不知道其具體是什么意思，但這對判斷操作系統(tǒng)應該影響不大，所以就沒有深入研究。c) seq行首先，我們看看nmap-os-db中對應于fingerprint microsoft windows xp sp2，的seq行：seq(sp=fa-108%gcd=1-6%isr=106-110%ti=i%ii=i%ss=s%ts=0)。下面我們先計算gcd：

9、由nmap的官方文檔/book/osdetect-methods.html#osdetect-gcd 可知，gcd是由packet #1-packet #6 這六個報文的響應報文推到而來的，下面我們找到這些報文，我們首先找到 packet #1，可以通過如下的過濾參數得到：ip.addr=34&tcp.options.wscale_val=10&tcp.window_size=1，結果如圖3-c-1：圖3-c-1 packet#1報文由圖3-c-1可知packet#1報文的序號為2054，那么我們就可以通過此序號找到其它的五個報文，如圖3-c

10、-2： 圖3-c-2 packet#x以及它們的響應報文 下面我們計算各個響應報文之間的差值，以及差值的最大公約數。我們用數組diff1保存各個差值，并只給出計算diff10的詳細過程，以及相關數據包的截圖。第一個響應報文為2055號報文，報文內容如圖3-c-3：圖3-c-3 2055號報文wireshark截圖wireshark用相對值反映tcp的isn，我們必須用實際的isn，那么isn=0x54f7491f。第二個響應報文為2057號報文，報文的內容如圖3-c-4：圖3-c-4 2057號報文的wireshark截圖isn=0xee7f5d13，所以diff10= 0xee7f5d13-

11、0x54f7491f=0x998813f4由于響應報文的isn依次為：0x54f7491f、0xee7f5d13、0x34447a3c、0xf9b8bea0、0xc0c45029、0x7f375ad7同理可得（具體報文請參考os_detect.pcap文件）：diff10= 0xee7f5d13-0x54f7491f=0x998813f4（已得到）diff21= 0x34447a3c-0xee7f5d13+0xffffffff=0x45c51d28diff32=0xf9b8bea0-0x34447a3c=0xc5744464diff43= 0xf9b8bea0-0xc0c45029=0x38f

12、46e77diff54= 0xc0c45029-0x7f375ad7=0x418cf552由此可得：gcd=（0x998813f4，0x45c51d28，0xc5744464，0x38f46e77，0x418cf552）=1，也就是gcd在1和6之間。與nmap的打印結果不同。下面計算isr：我們用數組seq_rates表示各個響應報文之間的初始序列號增長率，那么通過圖3-c-2和diff1數組可以計算seq_rates：seq_rates0= 0x998813f4/(4.965939-4.856578)= 23553479320.78seq_rates1= 0x45c51d28/(5.075

13、279-4.965939)= 10705560270.72seq_rates2= 0xc5744464/(5.184631-5.075279)= 30294198880.68seq_rates3= 0x38f46e77/(5.294036-5.184631)= 8733998985.42seq_rates4= 0x418cf552/(5.403459-5.294036)= 10050509326.19avg(seq_rates)=( 23553479320.78+10705560270.72+30294198880.68+8733998985.42+8733998985.42+10050509

14、326.19)/5=16667549356.758isr=8*log16667549356.758=0x10f,但不知為什么與nmap打印的0x106有一定的偏差。說明：log的底默認為2下面計算sp：sp= 8*logstandarddivision（seq_rates）=8*log 9687277259.89=0x109，但nmap打印的0x105，計算的結果還是與nmap的有些偏差。下面計算ti:探測seq響應報文（圖3-c-2中有響應的序列號）的ip_id分別為：16538、16541、16542、16543、16544、16545，顯然，ip_id的增量小于10，所以ti=i，與nm

15、ap的打印結果一致。下面計算ci：由于ci要由t5、t6、t7的響應報文計算出來，下面我們就找到t2-t7，在wireshark中輸入過濾參數：ip.addr=34&tcp.options.mss_val=265得到過濾結果如圖3-c-5圖3-c-5找到t2報文由圖3-c-5可知t2的報文序列號為2074，下面我們可以找到t2-t7如圖3-c-6所示圖3-c-6 t2-t7以及它們的響應報文下面我們看看t5、t6、t7的響應報文的ip_id，請看圖3-c-7、圖3-c-8和圖3-c-9，圖3-c-7 t5的響應報文圖3-c-8 t6的響應報文圖3-c-9 t7的響應報文

16、從以上3個圖可以看出，t5、t6、t7響應報文的ip_id分別為：16553、16554、16555，顯然它們的差值小于10所以ci=i，這與nmap的打印結果一致。下面計算ii：由于ii需要ie探測包的響應報文，那么我們就先找到兩個ie探測包，使用如下wireshark過濾參數：ip.addr=34&icmp得到如圖3-c-10的結果圖3-c-10 ie探測包及其響應報文下面我們得到兩個ie探測包響應報文的截圖，如圖3-c-11和圖3-c-12圖3-c-11 第一個ie探測包響應報文圖3-c-12第二個ie探測包響應報文由以上兩個圖可以看出ip_id分別為，16546

17、、16547，所以它們的差值為1，小于10，所以ii=i，這與nmap的打印結果一致。下面計算ss：探測seq響應報文（圖3-c-2中有響應的序列號）的ip_id分別為：16538、16541、16542、16543、16544、16545，那么有：agv=（16545-16538）/（6-1）=1.4；又由于第一個icmp響應報文ip_id為16546，所以1654616545+3*1.4，所以ss=s，這與nmap的打印結果一致。其實，這個結果根本不用算，因為icmp的ip_id為16546，最后一個tcp的ip_id為16545，這正好是連續(xù)的。下面計算ts：我們先看看packet #1

18、的響應報文，如圖3-c-13圖3-c-13 packet#1的響應報文由圖3-c-13可知，此報文tsval為0，所以ts=0，這與nmap的打印結果一致。即：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)d) ops行由于前面我們已經找到了所有的packet#1-packet#6，這里就不在全部截圖了，而只給一個例子，packet#1的響應報文如圖3-d-1所示圖3-d-1packet#1響應報文的ops所以可得：o1=m5b4nw0nnt00nns；同理可得：o2=m5b4nw0nnt00nns；o3=m5b4nw0nnt00；04=

19、m5b4nw0nnt00nns；o5=m5b4nw0nnt00nns；o6=m5b4nnt00nns；這個結果與nmap的打印結果完全一致。即：ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns) e) win行由于前面我們已經找到了所有的packet#1-packet#6，這里就不在全部截圖了，而只給一個例子，packet#1的響應報文如圖3-e-1所示圖3-e-1 packet#1響應報文的windows size由圖3

20、-e-1可得：w1=ffff；同理可得：w2=ffff；w3=ffff；w4=ffff；w5=ffff；w6=ffff；這與nmap的打印結果完全相同。即：win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)f) ecn行我們首先找到ecn cwr報文，利用以下wireshark的過濾參數：ip.addr=34&tcp.flags.syn&tcp.window_size=3得到如圖3-f-1所示的結果：圖3-f-1 找到ecn cwr報文由圖3-f-1可知，ecn cwr報文的序列號為2072，下面我們定位其響應報文，

21、如圖3-f-2所示下面計算r：由圖3-f-2可知，ecn cwr報文由響應報文，所以r=y，這與nmap的打印信息一致。下面計算df：由圖3-f-2可知，df標志位置1，所以df=y，這與nmap的打印信息一致。下面計算t：由于掃描的是局域網內的計算機，所以受到對方的ip數據包中的ttl即為初始ttl，由圖3-f-2可以看到ttl=128，也就是十六進制的80，所以t=80，這與nmap的打印結果一致。圖3-f-2 ecn cwr報文的響應報文下面計算w：由圖3-f-2可知windows size為65535，即十六進制的0xffff，所以w=ffff，這與nmap的打印結果一致。下面計算o：

22、由圖3-f-2的ops字段可知：o=m5b4nw0nns這與nmap的打印結果一致。下面計算cc：由圖3-f-2的tcp頭部的flag字段可知ece與cwr字段均沒有置位，所以cc=n，這與nmap的打印結果一致。下面計算q：由于ecn、cwr以及urg均沒有置位，所以根本不會存在文檔中所說的所謂的巧合，所以q什么值都沒有雞q=，這與nmap的打印結果一致。即：ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)g) t1行t1即為packet#1，由于我們在前面已經找到了packet#1報文，下面我們只給出其響應報文，如圖3-g-1所示圖3-g-1 t

23、1響應報文下面計算r：由圖3-g-1可知t1有響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖3-g-1可知df被置位，所以df=y，這與nmap的打印結果一致。下面計算t：由圖3-g-1可知ttl=128,也就是十六進制的80，所以t=80，這與nmap的打印結果一致。下面計算s：下面我們把圖3-g-1中的sequence number做一個特寫，如圖3-g-2所示圖3-g-2 t1的響應報文的sequence number我們還要知道請求報文，即t1的acknowledgement number，如圖3-g-3所示：由圖3-g-2可知t1響應報文的sequence nu

24、mber為0x54f7491f，而由圖3-g-3可知t1的acknowledgement number為0xefd97016，所以s=o，這與nmap的打印結果一致。圖3-g-3 t1的acknowledgement number下面計算a：從圖3-g-3可知t1的sequence number為0xa8975c01，且由圖3-g-2可知t1的響應報文的acknowledgement number為0xa8975c02，因此ack為syn+1，即a=s+，這與nmap的打印結果一致。下面計算f：由圖3-g-2可知，t1響應報文的tcp的flags字段syn和ack被置位，所以f=as，這與nm

25、ap的打印結果一致。下面計算rd：由圖3-g-2可知，t1響應報文的tcp層根本沒有攜帶用戶層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-g-2可知，t1響應報文的tcp頭的flags字段的ecn、cwr以及urg字段均沒有置位，所以q的置位空，即q=，這與nmap的打印結果一致。即：t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)h) t2行下面我們找到t2報文，通過過濾參數：ip.addr=34&tcp.flags=0，可以得到如圖3-h-1圖3-h-1 t2報文全貌由圖3-h-1可知，t1報文的序列號為207

26、4，下面我們找到其響應報文，如圖3-h-2所示下面計算r：由圖3-h-2可知，t2報文有響應報文，所以r=y，這與nmap的打印信息一致。下面計算df：由圖3-h-2可知，t2的響應報文的ip頭的flags字段的df沒有置位，即df=n，這與打印結果一致。圖3-h-2 t2響應報文全貌下面計算t：由圖3-h-2可知，t2響應報文的ttl為128，由于是在局域網中測試的，所以ttl的值即為t的值，即t=80（十六進制），這與nmap的打印信息一致。下面計算w：由圖3-h-2可知，t2響應報文的widows size為0，即w=0，這與nmap的打印結果一致。下面計算s：由圖3-h-2可知，t2響

27、應報文的sequence number為0，所以s=z，這與nmap的打印結果一致。下面計算a：由圖3-h-1可知，t2報文的sequence number為0xa8975c01，而由圖3-h-2可知，t2響應報文的acknowledgement number也為0xa8975c01，所以a=s，這與nmap的打印結果一致。下面計算f：由圖3-h-2可知，t2響應報文的tcp頭部flags字段rst與ack字段被置位，所以f=ar，這與nmap的打印結果一致。下面計算o：由圖3-h-2可知，t2響應報文的tcp頭部的ops字段沒有數據，所以o為空，即o=，這與nmap的打印結果一致。下面計算r

28、d：由圖3-h-2可知，t2的響應報文tcp層根本沒有攜帶用戶層的數據，因此rd=0，這與nmap的打印結果一致。下面計算q：由圖3-h-2可知，t2的響應報文的tcp頭部的flags的ecn、cwr以及urg均沒有置位，所以q為空，即q=，這與nmap的打印結果一致。即：t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=%rd=0%q=)i) t3行首先我們找到t3報文，t3報文就在t2報文的下面，t3報文如圖3-i-1所示，而t3的響應報文如圖3-i-2所示。下面計算r：由圖3-i-2可知，t3報文有響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖

29、3-i-2可知，t3響應報文的ip頭的flags字段的df被置位，所以df=y，這與nmap的打印結果一致。下面計算t：由圖3-i-2可知，t3響應報文的ip頭的ttl字段的值為128，即十六進制的0x80，由因為對方主機與掃描主機在同一個局域網，所以t也為128，即t=80，這與nmap的打印結果一致。下面計算w：由圖3-i-2可知，t3響應報文的tcp頭部的windows size字段的值為65535，即十六進制的0xffff，所以w=ffff，這與nmap的打印結果一致。下面計算s：由圖3-i-1可知，t3報文的acknowledgement number字段值為0xefd97016，而

30、由圖3-i-2可知，t3響應報文的sequence number字段值為0xfcd729be，所以s=o，這與nmap的打印結果一致。圖3-i-1 t3報文全貌下面計算a：由圖3-i-1可知，t3報文的sequence number值為0xa8975c01，且由圖3-i-2可知t3響應報文的acknowledgement number的值為0xa8975c02，所以a=s+，這與nmap的打印結果一致。下面計算f：由圖3-i-2可知，t3響應報文的tcp頭部的flags字段的syn、ack均被置位，所以f=as，這與nmap的打印結果一致。下面計算o；由圖3-i-2中的t3響應報文的tcp頭部

31、的ops字段可知：o=m5b4nw0nnt00nns這與nmap的打印結果一致。圖3-i-2 t3的響應報文下面計算rd：由圖3-i-2可知，t3響應報文的tcp層根本沒有攜帶用戶層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-i-2可知，t3的響應報文的tcp頭部的flags的ecn、cwr以及urg均沒有置位，所以q為空，即q=，這與nmap的打印結果一致。即：t3(r=y%df=y%t=80%w=ffff%s=o%a=s+%f=as%o=m5b4nw0nnt00nns%rd=0%q=)j) t4行首先我們找到t4報文，t4報文就在t3報文的下面，t4報文如圖3-j

32、-1所示，而t4的響應報文如圖3-j-2所示。圖3-j-1 t4報文全貌下面計算r：由圖3-j-2可知，t4報文有響應報文，所以r=y，這與nmap的打印信息一致。下面計算df:由圖3-j-2可知，t4響應報文的ip頭部的flags字段中的df沒有置位，所以df=n，這與nmap的打印結果一致。下面計算t：由圖3-j-2可知，t4的響應報文的ip頭部的ttl字段的值為128，即十六進制的0x80，又由于對方主機與掃描主機在同一個局域網，所以t=80，這與nmap的打印結果一致。下面計算w：由圖3-j-2可知，t4響應報文的tcp頭部的windows size的值為0，所以w=0，這與nmap的

33、打印結果一致。下面計算s：由圖3-j-1可知，t4報文的tcp頭部的acknowledgement number為0xefd97016；且由圖3-j-2可知，t4響應報文的tcp頭部的sequence number也為0xefd97016，所以s=a，這與nmap的打印結果一致。下面計算a：由圖3-j-1可知，t4報文的tcp頭部的sequence number為0xa8975c01；而由圖3-j-2可知，t4響應報文的tcp頭部的acknowledgement number為0xefd97016，所以a=o，這與nmap的打印結果一致。下面計算f：由圖3-j-2可知，t4響應報文的tcp頭部

34、的flags字段的rst被置位，所以f=r，這與nmap的打印結果一致。下面計算o：由圖3-j-2可知，t4響應報文的tcp的ops字段沒有數據，所以o的置位空，即o=，這與nmap的打印結果一致。下面計算rd：由圖3-j-2可知，t4響應報文的tcp層沒有攜帶用戶層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-j-2可知，t4響應報文的tcp頭部的flags字段中的ecn、cwr以及urg都沒有置位，所以q的值為空，即q=，這與nmap的打印結果一致。即：t4(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)圖3-j-2 t4響應報文

35、全貌k) t5行首先我們找到t5報文，t5報文就在t4報文的后面，t5報文如圖3-k-1所示，然后再找到t5報文的響應報文，如圖3-k-2。下面計算r：由圖3-k-2可知，t5報文有響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖3-k-2可知，t5響應報文的ip頭部的flags字段的df位沒有被置位，所以df=n，這與nmap的打印結果一致。下面計算t：由圖3-k-2可知，t5響應報文的ip頭部的ttl字段的值為128，即十六進制的0x80，而對方的主機與掃描主機在同一個局域網內，所以t也為128，即t=80，這與nmap的打印結果一致。下面計算w：由圖3-k-2可知，t

36、5響應報文的tcp頭部的windows size的值為0，所以w=0，這與nmap的打印結果一致。下面計算s：由圖3-k-2可知，t5響應報文的tcp頭部的sequence number的值為0，所以s=z，這與nmap的打印結果一致。下面計算a：由圖3-k-1可知，t5報文的tcp頭部的sequence number的值為0xa8975c01；且由圖3-k2可知，t5響應報文的acknowledgement number的值為0xa8975c02,所以a=s+，這與nmap的打印結果一致。圖3-k-1 t5報文全貌圖3-k-2 t5響應報文的全貌下面計算f：由圖3-k-2可知，t5響應報文的

37、tcp頭部的flags字段的rst和ack被置位，所以f=ar，這與nmap的打印結果一致。下面計算o：由圖3-k-2可知，t5響應報文的tcp的ops字段沒有數據，所以o值為空，即o=，這與nmap的打印結果一致。下面計算rd：由圖3-k-2可知，t5響應報文的tcp層沒有攜帶用戶層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-k-2可知，t5響應報文的tcp頭部的flags字段的ecn、cwr以及urg都沒有置位，所以q的值為空，即q=，這與nmap的打印結果一致。即：t5(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)l)

38、t6行我們先找到t6報文，t6報文就在t5報文的后面，t6報文如圖3-l-1所示，然后找到t6的響應報文如圖3-l-2所示。圖3-l-1 t6報文的全貌下面計算r：由圖3-l-2可知，t6報文有響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖3-l-2可知，t6響應報文的ip頭部的flags字段的df未被置位，所以df=n，這與nmap的打印結果一致。圖3-l-2 t6響應報文的全貌下面計算t：由圖3-l-2可知，t6響應報文的ip頭部的ttl字段的值為128，即十六進制的0x80，又由于被掃描主機與掃描主機在同一個局域網中，所以t=80，這與nmap的打印結果一致。下面計

39、算w：由圖3-l-2可知，t6響應報文的tcp頭部的windows size的值為0，所以w=0這與nmap的打印結果一致。下面計算s：由圖3-l-1可知，t6報文的tcp頭部的acknowledgement number的值為0xefd97016；且由圖3-l-2可知，t6響應報文的tcp頭部的sequence number的值也為0xefd97016，所以s=a，這與nmap的打印結果一致。下面計算a：由圖3-l-1可知，t6報文的tcp頭部的sequence number的值為0xa8975c01；而由圖3-l-2可知，t6響應報文的tcp頭部的acknowledgement numbe

40、r的值為0xefd97016，所以a=o，這與nmap的打印結果一致。下面計算f：由圖3-l-2可知，t6響應報文的tcp頭部的flags字段的rst被置位，所以f=r，這與nmap的打印結果一致。下面計算o：由圖3-l-2可知，t6響應報文的tcp頭部的ops字段沒有數據，所以o為空，即o=，這與nmap的打印結果一致。下面計算rd：由圖3-l-2可知，t6響應報文的tcp層沒有攜帶用戶層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-l-2可知，t6響應報文的tcp的頭部的flags字段的ecn、cwr以及urg都沒有置位，所以q的值為空，即q=，這與nmap的打印結

41、果一致。即：t6(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)m) t7行我們首先找到t7報文，t7報文就在t6報文的后面，t7報文如圖3-m-1所示，然后找到t7的響應報文，如圖3-m-2所示。下面計算r：由圖3-m-2可知，t7報文有響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖3-m-2可知，t7響應報文的ip頭部的flags字段的df位沒有被置位，所以df=n，這與nmap的打印結果一致。下面計算t：由圖3-m-2可知，t7響應報文的ip頭部的ttl的值為128，即十六進制的0x80，又由于被掃描主機和掃描主機在同一個局域網之

42、內，所以t=ttl=80，這與nmap的打印結果一致。下面計算w：由圖3-m-2可知，t7響應報文的tcp頭部的windows size 字段的值為0，所以w=0，這與nmap的打印結果一致。圖3-m-1 t7報文全貌下面計算s：由圖3-m-2可知，t7響應報文的tcp頭部的sequence number字段的值為0，所以s=z，這與nmap的打印結果一致。下面計算a：由圖3-m-1可知，t7報文的tcp頭部的sequence number字段的值為0xa8975c01；且由圖3-m-2可知，t7報文的tcp頭部的acknowledgement number字段的值為0xa8975c02，所以

43、a=s+，這與nmap的打印結果一致。下面計算f：由圖3-m-2可知，t7響應報文的tcp頭部的flags字段的rst與ack被置位，所以f=ar，這與nmap的打印結果一致。圖3-m-2 t7響應報文全貌下面計算o：由圖3-m-2可知，t7響應報文的tcp頭部沒有ops字段，所以o的值為空，即o=，這與nmap的打印結果一致。下面計算rd：由圖3-m-2可知，t7響應報文的tcp層沒有攜帶應用層的數據，所以rd=0，這與nmap的打印結果一致。下面計算q：由圖3-m-2可知，t7響應報文的tcp頭部的flags字段的ecn、cwr以及urg都沒有置位，所以q的值為空，即q=，這與nmap的打

44、印結果一致。即：tos:7(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)n) u1行首先我們找到udp數據包u1，使用過濾參數：ip.addr=34&udp，結果如圖3-n-1所示圖3-n-1 u1數據包全貌由圖3-n-1可知，對方應答u1數據包的是一個報告目的端口不可達的icmp報文，icmp報文如圖3-n-2所示。圖3-n-2 響應u1的icmp報文下面計算r：由圖3-n-2可知，u1包有icmp響應報文，所以r=y，這與nmap的打印結果一致。下面計算df：由圖3-n-2可知，u1響應報文（icmp報文）的ip頭部的fla

45、gs字段的df沒有置位，所以df=n，這與nmap的打印結果一致。下面計算t：由圖3-n-2可知，u1響應報文的ip頭部的ttl的值為128，即十六進制的0x80，又由于被掃描主機和掃描主機在同一個局域網內，所以t=ttl=80，這與nmap的打印結果一致。下面計算ipl：由圖3-n-2可知，u1響應報文的ip頭部的total length的值為176，也就是十六進制的0xb0，所以ipl=b0，這與nmap的打印結果一致。下面計算un：下面我們給icmp頭部一個特寫，如圖3-n-3所示：圖3-n-3 icmp圖標特寫由圖3-n-3可知，icmp頭部的后4個字節(jié)為零，所以un=0，這與nmap

46、的打印結果一致。下面計算ripl:由圖3-n-2可知，icmp報文內部的ip包的total length字段為328，所以ripl=g，這與nmap的打印結果一致。下面計算rid：由圖3-n-2可知，icmp報文內部的ip包的ip_id為0x1042，所以rid=g，這與nmap的打印結果一致。下面計算ripck：由于被掃描主機與掃描主機是在同一個局域網內，所以ip頭部的校驗和不會被路由器改變（因為報文不經過路由）。那么我們就可以簡單的比較一下u1包的ip頭校驗和與icmp包內部的ip頭校驗和是否相等。由圖3-n-1可知u1包ip頭校驗和為0x25a3，且有圖3-n-2可知icmp包內部的ip

47、頭校驗和也為0x25a3，這說明校驗和與ip報文匹配，所以ripck=g，這與nmap的打印結果一致。下面計算ruck：由圖3-n-1可知，u1的udp校驗和為0xe237,且由圖3-n-2可知，icmp包中的udp校驗和也為0xe237，所以ruck=g，這與nmap的打印結果一致。下面計算rud：下面我們給出icmp包返回的udp數據部分的特寫，如圖3-n-4所示圖3-n-4 icmp包中udp數據部分的特寫由圖3-n-4可知，數據部分都為0x43（c），所以ruck=g，這與nmap的打印結果一致。即：u1(r=y%df=n%t=80%ipl=b0%un=0%ripl=g%rid=g%r

48、ipck=g%ruck=g%rud=g)o) ie行首先我們找到兩個ie探測包，使用如下過濾參數：ip.addr=34&icmp，結果如圖3-o-1圖3-o-1 兩個ie探測包及其響應報文圖3-o-2 響應報文1圖3-o-3 響應報文2下面計算r：由圖3-o-1可知，兩個ie探測包都有應答包，所以r=y，這與nmap的打印信息一致。下面計算dfi：首先響應報文1如圖3-o-2，響應報文2如圖3-o-3由于第一個ie探測報文df置位，且由圖3-o-2可知其響應報文df也置位；而第二個ie探測報文df沒有置位，且由圖3-o-3可知其響應報文的df也沒有置位，所以dfi=s，

49、這與nmap的打印結果一致。下面計算t：由圖3-o-2可知，第一個響應報文的ip頭部的ttl字段的值為128，即十六進制的0x80。又由于被掃描主機與掃描主機在同一個局域網內，所以t=ttl=80這與nmap的掃描結果一致。下面計算cd：由圖3-o-2可知，第一個響應報文的icmp頭部的code字段的值為0；且由圖3-o-3可知，第二個響應報文的icmp頭部的code字段的值也為0，所以cd=z，這與nmap的打印結果一致。即：ie(r=y%dfi=s%t=80%cd=z)4 結論：所以最終的指紋信息為：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns)win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=