Nmap掃描器使用和分析

1、華中科技大學(xué)計(jì)算機(jī)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱(chēng) nmap掃描器使用和分析 團(tuán)隊(duì)成員：姓 名班 級(jí)學(xué) 號(hào)貢獻(xiàn)百分比得 分王鳳偉is0703u200714945100%注：團(tuán)隊(duì)成員貢獻(xiàn)百分比之和為1email：visual_110教師評(píng)語(yǔ)：一 環(huán)境（詳細(xì)說(shuō)明運(yùn)行的操作系統(tǒng)，網(wǎng)絡(luò)平臺(tái)，機(jī)器的ip地址）操作系統(tǒng) :microsoft windows xp professional service package 3 。網(wǎng)絡(luò)平臺(tái)：tcp/ip網(wǎng)絡(luò)機(jī)器ip：4nmap版本：5.21二 實(shí)驗(yàn)?zāi)康膌 掌握主機(jī)、端口掃描的原理l 掌握nmap掃描器的使用l 掌握nmap進(jìn)行遠(yuǎn)程os

2、檢測(cè)的原理三. 實(shí)驗(yàn)步驟及結(jié)果（包括主要流程和說(shuō)明）1 安裝nmapa) 安裝界面單擊“iagree”b) 選擇組件 默認(rèn)安裝，單擊“next”c) 進(jìn)入安裝單擊“install”后面一路默認(rèn)設(shè)置，最后安裝成功。2 利用nmap掃描d) -ss (tcp syn scan)參數(shù)掃描如圖2-1所示圖2-1 -ss掃描2從掃描結(jié)果可以看出2開(kāi)通了11個(gè)端口，而且這些端口都是tcp端口，因?yàn)閟yn掃描是基于tcp的。e) -st (tcp connect scan)參數(shù)掃描2如圖2-2圖2-2 -st掃描

3、2從中可以看出，-st掃描比-ss掃描多掃出了一個(gè)21號(hào)端口，對(duì)此我用wireshark截了一些包，發(fā)現(xiàn)21號(hào)端口只回應(yīng)了一個(gè)rst|ack包，而其余的端口回應(yīng)了至少三個(gè)rst|ack或reset之類(lèi)的包，因此我判斷有可能-ss與-st判斷端口打開(kāi)的標(biāo)準(zhǔn)不同，-st對(duì)回復(fù)一個(gè)rst|syn包就認(rèn)為對(duì)方的端口是開(kāi)著的，而-ss要對(duì)方回復(fù)多個(gè)rst|syn才認(rèn)為對(duì)方的端口是開(kāi)放的。f) -su (udp scans)參數(shù)掃描如圖2-3圖2-3 su參數(shù)掃描42由于-su掃描的是udp端口，而且掃描的目標(biāo)ip為學(xué)校的dns服務(wù)器，因此一定能掃描到對(duì)方的53號(hào)端口。g) -sy

4、(sctp init scan)掃描如圖2-4圖2-4 sy參數(shù)掃描2由于流控制傳輸協(xié)議（sctp）是ietf新定義的一個(gè)傳輸層transport layer協(xié)議（2000）所以到目前支持的不是很好，所以什么都沒(méi)有掃描出來(lái)。h) -sn; -sf; -sx (tcp null, fin, and xmas scans)-sn參數(shù)掃描如圖2-5-a所示圖2-5-a sn參數(shù)掃描2由于對(duì)方是windows系列的操作系統(tǒng)所以檢測(cè)到端口都是關(guān)閉的，但用syn掃描卻發(fā)現(xiàn)對(duì)方11個(gè)tcp端口。下面我們掃描一個(gè)不是windows系列的操作系統(tǒng)，-sf參數(shù)掃描如

5、圖2-5-b所示圖2-5-b sf參數(shù)掃描對(duì)方的主機(jī)是ibm aix 5.3 - 6.1，所以像443/tcp等關(guān)閉的端口操作系統(tǒng)會(huì)返回一個(gè)rst|ack，可以被nmap偵測(cè)到。其它的966都是open或者filtered。-sx參數(shù)掃描如圖2-5-c所示圖2-5-c sx參數(shù)掃描這里的掃描結(jié)果與-sf的掃描結(jié)果一致，原理也基本一致，這里就不再解釋了。i) -sa(tcp ack scan)參數(shù)掃描如圖2-6圖2-6 sa參數(shù)掃描7由于對(duì)方對(duì)每個(gè)ack報(bào)文都回復(fù)了rst，所以nmap判斷所有的端口都沒(méi)有過(guò)濾。j) sw(tcp window scan)參數(shù)掃描如圖2-7

6、圖2-7 sw參數(shù)掃描2由于對(duì)方的所有回復(fù)報(bào)文均為rst故nmap判斷對(duì)方所有端口關(guān)閉。k) sm(tcp maimon scan)參數(shù)掃描如圖2-8 圖2-8 sm參數(shù)掃描2-sm掃描實(shí)際是將sck和fin置位，對(duì)方以rst應(yīng)答，nmap判斷對(duì)方的所有端口都是開(kāi)放或者被過(guò)濾的。l) so(ip protocol scan)參數(shù)掃描如圖2-9 圖2-9 so參數(shù)掃描2-so掃描了ip協(xié)議相關(guān)的配置，如對(duì)方開(kāi)放了icmp協(xié)議、tcp協(xié)議以及udp協(xié)議，而igmp、ip、ipv6、esp以及ah協(xié)議被檢測(cè)為open|filte

7、red。m) scanflags(custom tcpscan)參數(shù)掃描如圖2-10 圖2-10 scanflags 2 參數(shù)掃描2-scanflags 2 其實(shí)就是syn掃描機(jī)-ss所以?huà)呙璧慕Y(jié)果與-ss（圖2-1）應(yīng)該基本相同。3 深入了解nmap os指紋庫(kù)的結(jié)構(gòu)和含義a) 利用-o參數(shù)掃描2如圖3-1-a和3-1-b圖3-a-1 o參數(shù)掃描2第一屏圖3-b-2 o參數(shù)掃描2第二屏由于使用了-d 參數(shù)，所以nmap會(huì)打印出匹配的指紋信息，下面我們就討論一下，這些指紋信息是如何計(jì)算出來(lái)的，以及n

8、map是如何通過(guò)指紋庫(kù)判斷操作系統(tǒng)的。b) scan行此行反映了掃描的環(huán)境信息，如v=5.21說(shuō)明nmap的版本是5.21，p=i686-pc-windows-windows說(shuō)明掃描者的平臺(tái)是i686，操作系統(tǒng)是windows系列的。還有一些選項(xiàng)，不知道其具體是什么意思，但這對(duì)判斷操作系統(tǒng)應(yīng)該影響不大，所以就沒(méi)有深入研究。c) seq行首先，我們看看nmap-os-db中對(duì)應(yīng)于fingerprint microsoft windows xp sp2，的seq行：seq(sp=fa-108%gcd=1-6%isr=106-110%ti=i%ii=i%ss=s%ts=0)。下面我們先計(jì)算gcd：

9、由nmap的官方文檔/book/osdetect-methods.html#osdetect-gcd 可知，gcd是由packet #1-packet #6 這六個(gè)報(bào)文的響應(yīng)報(bào)文推到而來(lái)的，下面我們找到這些報(bào)文，我們首先找到 packet #1，可以通過(guò)如下的過(guò)濾參數(shù)得到：ip.addr=34&tcp.options.wscale_val=10&tcp.window_size=1，結(jié)果如圖3-c-1：圖3-c-1 packet#1報(bào)文由圖3-c-1可知packet#1報(bào)文的序號(hào)為2054，那么我們就可以通過(guò)此序號(hào)找到其它的五個(gè)報(bào)文，如圖3-c

10、-2： 圖3-c-2 packet#x以及它們的響應(yīng)報(bào)文 下面我們計(jì)算各個(gè)響應(yīng)報(bào)文之間的差值，以及差值的最大公約數(shù)。我們用數(shù)組diff1保存各個(gè)差值，并只給出計(jì)算diff10的詳細(xì)過(guò)程，以及相關(guān)數(shù)據(jù)包的截圖。第一個(gè)響應(yīng)報(bào)文為2055號(hào)報(bào)文，報(bào)文內(nèi)容如圖3-c-3：圖3-c-3 2055號(hào)報(bào)文wireshark截圖wireshark用相對(duì)值反映tcp的isn，我們必須用實(shí)際的isn，那么isn=0x54f7491f。第二個(gè)響應(yīng)報(bào)文為2057號(hào)報(bào)文，報(bào)文的內(nèi)容如圖3-c-4：圖3-c-4 2057號(hào)報(bào)文的wireshark截圖isn=0xee7f5d13，所以diff10= 0xee7f5d13-

11、0x54f7491f=0x998813f4由于響應(yīng)報(bào)文的isn依次為：0x54f7491f、0xee7f5d13、0x34447a3c、0xf9b8bea0、0xc0c45029、0x7f375ad7同理可得（具體報(bào)文請(qǐng)參考o(jì)s_detect.pcap文件）：diff10= 0xee7f5d13-0x54f7491f=0x998813f4（已得到）diff21= 0x34447a3c-0xee7f5d13+0xffffffff=0x45c51d28diff32=0xf9b8bea0-0x34447a3c=0xc5744464diff43= 0xf9b8bea0-0xc0c45029=0x38f

12、46e77diff54= 0xc0c45029-0x7f375ad7=0x418cf552由此可得：gcd=（0x998813f4，0x45c51d28，0xc5744464，0x38f46e77，0x418cf552）=1，也就是gcd在1和6之間。與nmap的打印結(jié)果不同。下面計(jì)算isr：我們用數(shù)組seq_rates表示各個(gè)響應(yīng)報(bào)文之間的初始序列號(hào)增長(zhǎng)率，那么通過(guò)圖3-c-2和diff1數(shù)組可以計(jì)算seq_rates：seq_rates0= 0x998813f4/(4.965939-4.856578)= 23553479320.78seq_rates1= 0x45c51d28/(5.075

13、279-4.965939)= 10705560270.72seq_rates2= 0xc5744464/(5.184631-5.075279)= 30294198880.68seq_rates3= 0x38f46e77/(5.294036-5.184631)= 8733998985.42seq_rates4= 0x418cf552/(5.403459-5.294036)= 10050509326.19avg(seq_rates)=( 23553479320.78+10705560270.72+30294198880.68+8733998985.42+8733998985.42+10050509

14、326.19)/5=16667549356.758isr=8*log16667549356.758=0x10f,但不知為什么與nmap打印的0x106有一定的偏差。說(shuō)明：log的底默認(rèn)為2下面計(jì)算sp：sp= 8*logstandarddivision（seq_rates）=8*log 9687277259.89=0x109，但nmap打印的0x105，計(jì)算的結(jié)果還是與nmap的有些偏差。下面計(jì)算ti:探測(cè)seq響應(yīng)報(bào)文（圖3-c-2中有響應(yīng)的序列號(hào)）的ip_id分別為：16538、16541、16542、16543、16544、16545，顯然，ip_id的增量小于10，所以ti=i，與nm

15、ap的打印結(jié)果一致。下面計(jì)算ci：由于ci要由t5、t6、t7的響應(yīng)報(bào)文計(jì)算出來(lái)，下面我們就找到t2-t7，在wireshark中輸入過(guò)濾參數(shù)：ip.addr=34&tcp.options.mss_val=265得到過(guò)濾結(jié)果如圖3-c-5圖3-c-5找到t2報(bào)文由圖3-c-5可知t2的報(bào)文序列號(hào)為2074，下面我們可以找到t2-t7如圖3-c-6所示圖3-c-6 t2-t7以及它們的響應(yīng)報(bào)文下面我們看看t5、t6、t7的響應(yīng)報(bào)文的ip_id，請(qǐng)看圖3-c-7、圖3-c-8和圖3-c-9，圖3-c-7 t5的響應(yīng)報(bào)文圖3-c-8 t6的響應(yīng)報(bào)文圖3-c-9 t7的響應(yīng)報(bào)文

16、從以上3個(gè)圖可以看出，t5、t6、t7響應(yīng)報(bào)文的ip_id分別為：16553、16554、16555，顯然它們的差值小于10所以ci=i，這與nmap的打印結(jié)果一致。下面計(jì)算ii：由于ii需要ie探測(cè)包的響應(yīng)報(bào)文，那么我們就先找到兩個(gè)ie探測(cè)包，使用如下wireshark過(guò)濾參數(shù)：ip.addr=34&icmp得到如圖3-c-10的結(jié)果圖3-c-10 ie探測(cè)包及其響應(yīng)報(bào)文下面我們得到兩個(gè)ie探測(cè)包響應(yīng)報(bào)文的截圖，如圖3-c-11和圖3-c-12圖3-c-11 第一個(gè)ie探測(cè)包響應(yīng)報(bào)文圖3-c-12第二個(gè)ie探測(cè)包響應(yīng)報(bào)文由以上兩個(gè)圖可以看出ip_id分別為，16546

17、、16547，所以它們的差值為1，小于10，所以ii=i，這與nmap的打印結(jié)果一致。下面計(jì)算ss：探測(cè)seq響應(yīng)報(bào)文（圖3-c-2中有響應(yīng)的序列號(hào)）的ip_id分別為：16538、16541、16542、16543、16544、16545，那么有：agv=（16545-16538）/（6-1）=1.4；又由于第一個(gè)icmp響應(yīng)報(bào)文ip_id為16546，所以1654616545+3*1.4，所以ss=s，這與nmap的打印結(jié)果一致。其實(shí)，這個(gè)結(jié)果根本不用算，因?yàn)閕cmp的ip_id為16546，最后一個(gè)tcp的ip_id為16545，這正好是連續(xù)的。下面計(jì)算ts：我們先看看packet #1

18、的響應(yīng)報(bào)文，如圖3-c-13圖3-c-13 packet#1的響應(yīng)報(bào)文由圖3-c-13可知，此報(bào)文tsval為0，所以ts=0，這與nmap的打印結(jié)果一致。即：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)d) ops行由于前面我們已經(jīng)找到了所有的packet#1-packet#6，這里就不在全部截圖了，而只給一個(gè)例子，packet#1的響應(yīng)報(bào)文如圖3-d-1所示圖3-d-1packet#1響應(yīng)報(bào)文的ops所以可得：o1=m5b4nw0nnt00nns；同理可得：o2=m5b4nw0nnt00nns；o3=m5b4nw0nnt00；04=

19、m5b4nw0nnt00nns；o5=m5b4nw0nnt00nns；o6=m5b4nnt00nns；這個(gè)結(jié)果與nmap的打印結(jié)果完全一致。即：ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns) e) win行由于前面我們已經(jīng)找到了所有的packet#1-packet#6，這里就不在全部截圖了，而只給一個(gè)例子，packet#1的響應(yīng)報(bào)文如圖3-e-1所示圖3-e-1 packet#1響應(yīng)報(bào)文的windows size由圖3

20、-e-1可得：w1=ffff；同理可得：w2=ffff；w3=ffff；w4=ffff；w5=ffff；w6=ffff；這與nmap的打印結(jié)果完全相同。即：win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)f) ecn行我們首先找到ecn cwr報(bào)文，利用以下wireshark的過(guò)濾參數(shù)：ip.addr=34&tcp.flags.syn&tcp.window_size=3得到如圖3-f-1所示的結(jié)果：圖3-f-1 找到ecn cwr報(bào)文由圖3-f-1可知，ecn cwr報(bào)文的序列號(hào)為2072，下面我們定位其響應(yīng)報(bào)文，

21、如圖3-f-2所示下面計(jì)算r：由圖3-f-2可知，ecn cwr報(bào)文由響應(yīng)報(bào)文，所以r=y，這與nmap的打印信息一致。下面計(jì)算df：由圖3-f-2可知，df標(biāo)志位置1，所以df=y，這與nmap的打印信息一致。下面計(jì)算t：由于掃描的是局域網(wǎng)內(nèi)的計(jì)算機(jī)，所以受到對(duì)方的ip數(shù)據(jù)包中的ttl即為初始ttl，由圖3-f-2可以看到ttl=128，也就是十六進(jìn)制的80，所以t=80，這與nmap的打印結(jié)果一致。圖3-f-2 ecn cwr報(bào)文的響應(yīng)報(bào)文下面計(jì)算w：由圖3-f-2可知windows size為65535，即十六進(jìn)制的0xffff，所以w=ffff，這與nmap的打印結(jié)果一致。下面計(jì)算o：

22、由圖3-f-2的ops字段可知：o=m5b4nw0nns這與nmap的打印結(jié)果一致。下面計(jì)算cc：由圖3-f-2的tcp頭部的flag字段可知ece與cwr字段均沒(méi)有置位，所以cc=n，這與nmap的打印結(jié)果一致。下面計(jì)算q：由于ecn、cwr以及urg均沒(méi)有置位，所以根本不會(huì)存在文檔中所說(shuō)的所謂的巧合，所以q什么值都沒(méi)有雞q=，這與nmap的打印結(jié)果一致。即：ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)g) t1行t1即為packet#1，由于我們?cè)谇懊嬉呀?jīng)找到了packet#1報(bào)文，下面我們只給出其響應(yīng)報(bào)文，如圖3-g-1所示圖3-g-1 t

23、1響應(yīng)報(bào)文下面計(jì)算r：由圖3-g-1可知t1有響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖3-g-1可知df被置位，所以df=y，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-g-1可知ttl=128,也就是十六進(jìn)制的80，所以t=80，這與nmap的打印結(jié)果一致。下面計(jì)算s：下面我們把圖3-g-1中的sequence number做一個(gè)特寫(xiě)，如圖3-g-2所示圖3-g-2 t1的響應(yīng)報(bào)文的sequence number我們還要知道請(qǐng)求報(bào)文，即t1的acknowledgement number，如圖3-g-3所示：由圖3-g-2可知t1響應(yīng)報(bào)文的sequence nu

24、mber為0x54f7491f，而由圖3-g-3可知t1的acknowledgement number為0xefd97016，所以s=o，這與nmap的打印結(jié)果一致。圖3-g-3 t1的acknowledgement number下面計(jì)算a：從圖3-g-3可知t1的sequence number為0xa8975c01，且由圖3-g-2可知t1的響應(yīng)報(bào)文的acknowledgement number為0xa8975c02，因此ack為syn+1，即a=s+，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-g-2可知，t1響應(yīng)報(bào)文的tcp的flags字段syn和ack被置位，所以f=as，這與nm

25、ap的打印結(jié)果一致。下面計(jì)算rd：由圖3-g-2可知，t1響應(yīng)報(bào)文的tcp層根本沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-g-2可知，t1響應(yīng)報(bào)文的tcp頭的flags字段的ecn、cwr以及urg字段均沒(méi)有置位，所以q的置位空，即q=，這與nmap的打印結(jié)果一致。即：t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)h) t2行下面我們找到t2報(bào)文，通過(guò)過(guò)濾參數(shù)：ip.addr=34&tcp.flags=0，可以得到如圖3-h-1圖3-h-1 t2報(bào)文全貌由圖3-h-1可知，t1報(bào)文的序列號(hào)為207

26、4，下面我們找到其響應(yīng)報(bào)文，如圖3-h-2所示下面計(jì)算r：由圖3-h-2可知，t2報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印信息一致。下面計(jì)算df：由圖3-h-2可知，t2的響應(yīng)報(bào)文的ip頭的flags字段的df沒(méi)有置位，即df=n，這與打印結(jié)果一致。圖3-h-2 t2響應(yīng)報(bào)文全貌下面計(jì)算t：由圖3-h-2可知，t2響應(yīng)報(bào)文的ttl為128，由于是在局域網(wǎng)中測(cè)試的，所以ttl的值即為t的值，即t=80（十六進(jìn)制），這與nmap的打印信息一致。下面計(jì)算w：由圖3-h-2可知，t2響應(yīng)報(bào)文的widows size為0，即w=0，這與nmap的打印結(jié)果一致。下面計(jì)算s：由圖3-h-2可知，t2響

27、應(yīng)報(bào)文的sequence number為0，所以s=z，這與nmap的打印結(jié)果一致。下面計(jì)算a：由圖3-h-1可知，t2報(bào)文的sequence number為0xa8975c01，而由圖3-h-2可知，t2響應(yīng)報(bào)文的acknowledgement number也為0xa8975c01，所以a=s，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-h-2可知，t2響應(yīng)報(bào)文的tcp頭部flags字段rst與ack字段被置位，所以f=ar，這與nmap的打印結(jié)果一致。下面計(jì)算o：由圖3-h-2可知，t2響應(yīng)報(bào)文的tcp頭部的ops字段沒(méi)有數(shù)據(jù)，所以o為空，即o=，這與nmap的打印結(jié)果一致。下面計(jì)算r

28、d：由圖3-h-2可知，t2的響應(yīng)報(bào)文tcp層根本沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，因此rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-h-2可知，t2的響應(yīng)報(bào)文的tcp頭部的flags的ecn、cwr以及urg均沒(méi)有置位，所以q為空，即q=，這與nmap的打印結(jié)果一致。即：t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=%rd=0%q=)i) t3行首先我們找到t3報(bào)文，t3報(bào)文就在t2報(bào)文的下面，t3報(bào)文如圖3-i-1所示，而t3的響應(yīng)報(bào)文如圖3-i-2所示。下面計(jì)算r：由圖3-i-2可知，t3報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖

29、3-i-2可知，t3響應(yīng)報(bào)文的ip頭的flags字段的df被置位，所以df=y，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-i-2可知，t3響應(yīng)報(bào)文的ip頭的ttl字段的值為128，即十六進(jìn)制的0x80，由因?yàn)閷?duì)方主機(jī)與掃描主機(jī)在同一個(gè)局域網(wǎng)，所以t也為128，即t=80，這與nmap的打印結(jié)果一致。下面計(jì)算w：由圖3-i-2可知，t3響應(yīng)報(bào)文的tcp頭部的windows size字段的值為65535，即十六進(jìn)制的0xffff，所以w=ffff，這與nmap的打印結(jié)果一致。下面計(jì)算s：由圖3-i-1可知，t3報(bào)文的acknowledgement number字段值為0xefd97016，而

30、由圖3-i-2可知，t3響應(yīng)報(bào)文的sequence number字段值為0xfcd729be，所以s=o，這與nmap的打印結(jié)果一致。圖3-i-1 t3報(bào)文全貌下面計(jì)算a：由圖3-i-1可知，t3報(bào)文的sequence number值為0xa8975c01，且由圖3-i-2可知t3響應(yīng)報(bào)文的acknowledgement number的值為0xa8975c02，所以a=s+，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-i-2可知，t3響應(yīng)報(bào)文的tcp頭部的flags字段的syn、ack均被置位，所以f=as，這與nmap的打印結(jié)果一致。下面計(jì)算o；由圖3-i-2中的t3響應(yīng)報(bào)文的tcp頭部

31、的ops字段可知：o=m5b4nw0nnt00nns這與nmap的打印結(jié)果一致。圖3-i-2 t3的響應(yīng)報(bào)文下面計(jì)算rd：由圖3-i-2可知，t3響應(yīng)報(bào)文的tcp層根本沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-i-2可知，t3的響應(yīng)報(bào)文的tcp頭部的flags的ecn、cwr以及urg均沒(méi)有置位，所以q為空，即q=，這與nmap的打印結(jié)果一致。即：t3(r=y%df=y%t=80%w=ffff%s=o%a=s+%f=as%o=m5b4nw0nnt00nns%rd=0%q=)j) t4行首先我們找到t4報(bào)文，t4報(bào)文就在t3報(bào)文的下面，t4報(bào)文如圖3-j

32、-1所示，而t4的響應(yīng)報(bào)文如圖3-j-2所示。圖3-j-1 t4報(bào)文全貌下面計(jì)算r：由圖3-j-2可知，t4報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印信息一致。下面計(jì)算df:由圖3-j-2可知，t4響應(yīng)報(bào)文的ip頭部的flags字段中的df沒(méi)有置位，所以df=n，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-j-2可知，t4的響應(yīng)報(bào)文的ip頭部的ttl字段的值為128，即十六進(jìn)制的0x80，又由于對(duì)方主機(jī)與掃描主機(jī)在同一個(gè)局域網(wǎng)，所以t=80，這與nmap的打印結(jié)果一致。下面計(jì)算w：由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp頭部的windows size的值為0，所以w=0，這與nmap的

33、打印結(jié)果一致。下面計(jì)算s：由圖3-j-1可知，t4報(bào)文的tcp頭部的acknowledgement number為0xefd97016；且由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp頭部的sequence number也為0xefd97016，所以s=a，這與nmap的打印結(jié)果一致。下面計(jì)算a：由圖3-j-1可知，t4報(bào)文的tcp頭部的sequence number為0xa8975c01；而由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp頭部的acknowledgement number為0xefd97016，所以a=o，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp頭部

34、的flags字段的rst被置位，所以f=r，這與nmap的打印結(jié)果一致。下面計(jì)算o：由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp的ops字段沒(méi)有數(shù)據(jù)，所以o的置位空，即o=，這與nmap的打印結(jié)果一致。下面計(jì)算rd：由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp層沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-j-2可知，t4響應(yīng)報(bào)文的tcp頭部的flags字段中的ecn、cwr以及urg都沒(méi)有置位，所以q的值為空，即q=，這與nmap的打印結(jié)果一致。即：t4(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)圖3-j-2 t4響應(yīng)報(bào)文

35、全貌k) t5行首先我們找到t5報(bào)文，t5報(bào)文就在t4報(bào)文的后面，t5報(bào)文如圖3-k-1所示，然后再找到t5報(bào)文的響應(yīng)報(bào)文，如圖3-k-2。下面計(jì)算r：由圖3-k-2可知，t5報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖3-k-2可知，t5響應(yīng)報(bào)文的ip頭部的flags字段的df位沒(méi)有被置位，所以df=n，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-k-2可知，t5響應(yīng)報(bào)文的ip頭部的ttl字段的值為128，即十六進(jìn)制的0x80，而對(duì)方的主機(jī)與掃描主機(jī)在同一個(gè)局域網(wǎng)內(nèi)，所以t也為128，即t=80，這與nmap的打印結(jié)果一致。下面計(jì)算w：由圖3-k-2可知，t

36、5響應(yīng)報(bào)文的tcp頭部的windows size的值為0，所以w=0，這與nmap的打印結(jié)果一致。下面計(jì)算s：由圖3-k-2可知，t5響應(yīng)報(bào)文的tcp頭部的sequence number的值為0，所以s=z，這與nmap的打印結(jié)果一致。下面計(jì)算a：由圖3-k-1可知，t5報(bào)文的tcp頭部的sequence number的值為0xa8975c01；且由圖3-k2可知，t5響應(yīng)報(bào)文的acknowledgement number的值為0xa8975c02,所以a=s+，這與nmap的打印結(jié)果一致。圖3-k-1 t5報(bào)文全貌圖3-k-2 t5響應(yīng)報(bào)文的全貌下面計(jì)算f：由圖3-k-2可知，t5響應(yīng)報(bào)文的

37、tcp頭部的flags字段的rst和ack被置位，所以f=ar，這與nmap的打印結(jié)果一致。下面計(jì)算o：由圖3-k-2可知，t5響應(yīng)報(bào)文的tcp的ops字段沒(méi)有數(shù)據(jù)，所以o值為空，即o=，這與nmap的打印結(jié)果一致。下面計(jì)算rd：由圖3-k-2可知，t5響應(yīng)報(bào)文的tcp層沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-k-2可知，t5響應(yīng)報(bào)文的tcp頭部的flags字段的ecn、cwr以及urg都沒(méi)有置位，所以q的值為空，即q=，這與nmap的打印結(jié)果一致。即：t5(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)l)

38、t6行我們先找到t6報(bào)文，t6報(bào)文就在t5報(bào)文的后面，t6報(bào)文如圖3-l-1所示，然后找到t6的響應(yīng)報(bào)文如圖3-l-2所示。圖3-l-1 t6報(bào)文的全貌下面計(jì)算r：由圖3-l-2可知，t6報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖3-l-2可知，t6響應(yīng)報(bào)文的ip頭部的flags字段的df未被置位，所以df=n，這與nmap的打印結(jié)果一致。圖3-l-2 t6響應(yīng)報(bào)文的全貌下面計(jì)算t：由圖3-l-2可知，t6響應(yīng)報(bào)文的ip頭部的ttl字段的值為128，即十六進(jìn)制的0x80，又由于被掃描主機(jī)與掃描主機(jī)在同一個(gè)局域網(wǎng)中，所以t=80，這與nmap的打印結(jié)果一致。下面計(jì)

39、算w：由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp頭部的windows size的值為0，所以w=0這與nmap的打印結(jié)果一致。下面計(jì)算s：由圖3-l-1可知，t6報(bào)文的tcp頭部的acknowledgement number的值為0xefd97016；且由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp頭部的sequence number的值也為0xefd97016，所以s=a，這與nmap的打印結(jié)果一致。下面計(jì)算a：由圖3-l-1可知，t6報(bào)文的tcp頭部的sequence number的值為0xa8975c01；而由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp頭部的acknowledgement numbe

40、r的值為0xefd97016，所以a=o，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp頭部的flags字段的rst被置位，所以f=r，這與nmap的打印結(jié)果一致。下面計(jì)算o：由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp頭部的ops字段沒(méi)有數(shù)據(jù)，所以o為空，即o=，這與nmap的打印結(jié)果一致。下面計(jì)算rd：由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp層沒(méi)有攜帶用戶(hù)層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-l-2可知，t6響應(yīng)報(bào)文的tcp的頭部的flags字段的ecn、cwr以及urg都沒(méi)有置位，所以q的值為空，即q=，這與nmap的打印結(jié)

41、果一致。即：t6(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)m) t7行我們首先找到t7報(bào)文，t7報(bào)文就在t6報(bào)文的后面，t7報(bào)文如圖3-m-1所示，然后找到t7的響應(yīng)報(bào)文，如圖3-m-2所示。下面計(jì)算r：由圖3-m-2可知，t7報(bào)文有響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖3-m-2可知，t7響應(yīng)報(bào)文的ip頭部的flags字段的df位沒(méi)有被置位，所以df=n，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-m-2可知，t7響應(yīng)報(bào)文的ip頭部的ttl的值為128，即十六進(jìn)制的0x80，又由于被掃描主機(jī)和掃描主機(jī)在同一個(gè)局域網(wǎng)之

42、內(nèi)，所以t=ttl=80，這與nmap的打印結(jié)果一致。下面計(jì)算w：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp頭部的windows size 字段的值為0，所以w=0，這與nmap的打印結(jié)果一致。圖3-m-1 t7報(bào)文全貌下面計(jì)算s：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp頭部的sequence number字段的值為0，所以s=z，這與nmap的打印結(jié)果一致。下面計(jì)算a：由圖3-m-1可知，t7報(bào)文的tcp頭部的sequence number字段的值為0xa8975c01；且由圖3-m-2可知，t7報(bào)文的tcp頭部的acknowledgement number字段的值為0xa8975c02，所以

43、a=s+，這與nmap的打印結(jié)果一致。下面計(jì)算f：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp頭部的flags字段的rst與ack被置位，所以f=ar，這與nmap的打印結(jié)果一致。圖3-m-2 t7響應(yīng)報(bào)文全貌下面計(jì)算o：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp頭部沒(méi)有ops字段，所以o的值為空，即o=，這與nmap的打印結(jié)果一致。下面計(jì)算rd：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp層沒(méi)有攜帶應(yīng)用層的數(shù)據(jù)，所以rd=0，這與nmap的打印結(jié)果一致。下面計(jì)算q：由圖3-m-2可知，t7響應(yīng)報(bào)文的tcp頭部的flags字段的ecn、cwr以及urg都沒(méi)有置位，所以q的值為空，即q=，這與nmap的打

44、印結(jié)果一致。即：tos:7(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)n) u1行首先我們找到udp數(shù)據(jù)包u1，使用過(guò)濾參數(shù)：ip.addr=34&udp，結(jié)果如圖3-n-1所示圖3-n-1 u1數(shù)據(jù)包全貌由圖3-n-1可知，對(duì)方應(yīng)答u1數(shù)據(jù)包的是一個(gè)報(bào)告目的端口不可達(dá)的icmp報(bào)文，icmp報(bào)文如圖3-n-2所示。圖3-n-2 響應(yīng)u1的icmp報(bào)文下面計(jì)算r：由圖3-n-2可知，u1包有icmp響應(yīng)報(bào)文，所以r=y，這與nmap的打印結(jié)果一致。下面計(jì)算df：由圖3-n-2可知，u1響應(yīng)報(bào)文（icmp報(bào)文）的ip頭部的fla

45、gs字段的df沒(méi)有置位，所以df=n，這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-n-2可知，u1響應(yīng)報(bào)文的ip頭部的ttl的值為128，即十六進(jìn)制的0x80，又由于被掃描主機(jī)和掃描主機(jī)在同一個(gè)局域網(wǎng)內(nèi)，所以t=ttl=80，這與nmap的打印結(jié)果一致。下面計(jì)算ipl：由圖3-n-2可知，u1響應(yīng)報(bào)文的ip頭部的total length的值為176，也就是十六進(jìn)制的0xb0，所以ipl=b0，這與nmap的打印結(jié)果一致。下面計(jì)算un：下面我們給icmp頭部一個(gè)特寫(xiě)，如圖3-n-3所示：圖3-n-3 icmp圖標(biāo)特寫(xiě)由圖3-n-3可知，icmp頭部的后4個(gè)字節(jié)為零，所以u(píng)n=0，這與nmap

46、的打印結(jié)果一致。下面計(jì)算ripl:由圖3-n-2可知，icmp報(bào)文內(nèi)部的ip包的total length字段為328，所以ripl=g，這與nmap的打印結(jié)果一致。下面計(jì)算rid：由圖3-n-2可知，icmp報(bào)文內(nèi)部的ip包的ip_id為0x1042，所以rid=g，這與nmap的打印結(jié)果一致。下面計(jì)算ripck：由于被掃描主機(jī)與掃描主機(jī)是在同一個(gè)局域網(wǎng)內(nèi)，所以ip頭部的校驗(yàn)和不會(huì)被路由器改變（因?yàn)閳?bào)文不經(jīng)過(guò)路由）。那么我們就可以簡(jiǎn)單的比較一下u1包的ip頭校驗(yàn)和與icmp包內(nèi)部的ip頭校驗(yàn)和是否相等。由圖3-n-1可知u1包ip頭校驗(yàn)和為0x25a3，且有圖3-n-2可知icmp包內(nèi)部的ip

47、頭校驗(yàn)和也為0x25a3，這說(shuō)明校驗(yàn)和與ip報(bào)文匹配，所以ripck=g，這與nmap的打印結(jié)果一致。下面計(jì)算ruck：由圖3-n-1可知，u1的udp校驗(yàn)和為0xe237,且由圖3-n-2可知，icmp包中的udp校驗(yàn)和也為0xe237，所以ruck=g，這與nmap的打印結(jié)果一致。下面計(jì)算rud：下面我們給出icmp包返回的udp數(shù)據(jù)部分的特寫(xiě)，如圖3-n-4所示圖3-n-4 icmp包中udp數(shù)據(jù)部分的特寫(xiě)由圖3-n-4可知，數(shù)據(jù)部分都為0x43（c），所以ruck=g，這與nmap的打印結(jié)果一致。即：u1(r=y%df=n%t=80%ipl=b0%un=0%ripl=g%rid=g%r

48、ipck=g%ruck=g%rud=g)o) ie行首先我們找到兩個(gè)ie探測(cè)包，使用如下過(guò)濾參數(shù)：ip.addr=34&icmp，結(jié)果如圖3-o-1圖3-o-1 兩個(gè)ie探測(cè)包及其響應(yīng)報(bào)文圖3-o-2 響應(yīng)報(bào)文1圖3-o-3 響應(yīng)報(bào)文2下面計(jì)算r：由圖3-o-1可知，兩個(gè)ie探測(cè)包都有應(yīng)答包，所以r=y，這與nmap的打印信息一致。下面計(jì)算dfi：首先響應(yīng)報(bào)文1如圖3-o-2，響應(yīng)報(bào)文2如圖3-o-3由于第一個(gè)ie探測(cè)報(bào)文df置位，且由圖3-o-2可知其響應(yīng)報(bào)文df也置位；而第二個(gè)ie探測(cè)報(bào)文df沒(méi)有置位，且由圖3-o-3可知其響應(yīng)報(bào)文的df也沒(méi)有置位，所以dfi=s，

49、這與nmap的打印結(jié)果一致。下面計(jì)算t：由圖3-o-2可知，第一個(gè)響應(yīng)報(bào)文的ip頭部的ttl字段的值為128，即十六進(jìn)制的0x80。又由于被掃描主機(jī)與掃描主機(jī)在同一個(gè)局域網(wǎng)內(nèi)，所以t=ttl=80這與nmap的掃描結(jié)果一致。下面計(jì)算cd：由圖3-o-2可知，第一個(gè)響應(yīng)報(bào)文的icmp頭部的code字段的值為0；且由圖3-o-3可知，第二個(gè)響應(yīng)報(bào)文的icmp頭部的code字段的值也為0，所以cd=z，這與nmap的打印結(jié)果一致。即：ie(r=y%dfi=s%t=80%cd=z)4 結(jié)論：所以最終的指紋信息為：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns)win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=