Nmap扫描器使用和分析

1、华中科技大学计算机学院计算机网络安全实验报告实验名称 nmap扫描器使用和分析 团队成员：姓 名班 级学 号贡献百分比得 分王凤伟is0703u200714945100%注：团队成员贡献百分比之和为1email：visual_110教师评语：一 环境（详细说明运行的操作系统，网络平台，机器的ip地址）操作系统 :microsoft windows xp professional service package 3 。网络平台：tcp/ip网络机器ip：4nmap版本：5.21二 实验目的l 掌握主机、端口扫描的原理l 掌握nmap扫描器的使用l 掌握nmap进行远程os

2、检测的原理三. 实验步骤及结果（包括主要流程和说明）1 安装nmapa) 安装界面单击“iagree”b) 选择组件 默认安装，单击“next”c) 进入安装单击“install”后面一路默认设置，最后安装成功。2 利用nmap扫描d) -ss (tcp syn scan)参数扫描如图2-1所示图2-1 -ss扫描2从扫描结果可以看出2开通了11个端口，而且这些端口都是tcp端口，因为syn扫描是基于tcp的。e) -st (tcp connect scan)参数扫描2如图2-2图2-2 -st扫描

3、2从中可以看出，-st扫描比-ss扫描多扫出了一个21号端口，对此我用wireshark截了一些包，发现21号端口只回应了一个rst|ack包，而其余的端口回应了至少三个rst|ack或reset之类的包，因此我判断有可能-ss与-st判断端口打开的标准不同，-st对回复一个rst|syn包就认为对方的端口是开着的，而-ss要对方回复多个rst|syn才认为对方的端口是开放的。f) -su (udp scans)参数扫描如图2-3图2-3 su参数扫描42由于-su扫描的是udp端口，而且扫描的目标ip为学校的dns服务器，因此一定能扫描到对方的53号端口。g) -sy

4、(sctp init scan)扫描如图2-4图2-4 sy参数扫描2由于流控制传输协议（sctp）是ietf新定义的一个传输层transport layer协议（2000）所以到目前支持的不是很好，所以什么都没有扫描出来。h) -sn; -sf; -sx (tcp null, fin, and xmas scans)-sn参数扫描如图2-5-a所示图2-5-a sn参数扫描2由于对方是windows系列的操作系统所以检测到端口都是关闭的，但用syn扫描却发现对方11个tcp端口。下面我们扫描一个不是windows系列的操作系统，-sf参数扫描如

5、图2-5-b所示图2-5-b sf参数扫描对方的主机是ibm aix 5.3 - 6.1，所以像443/tcp等关闭的端口操作系统会返回一个rst|ack，可以被nmap侦测到。其它的966都是open或者filtered。-sx参数扫描如图2-5-c所示图2-5-c sx参数扫描这里的扫描结果与-sf的扫描结果一致，原理也基本一致，这里就不再解释了。i) -sa(tcp ack scan)参数扫描如图2-6图2-6 sa参数扫描7由于对方对每个ack报文都回复了rst，所以nmap判断所有的端口都没有过滤。j) sw(tcp window scan)参数扫描如图2-7

6、图2-7 sw参数扫描2由于对方的所有回复报文均为rst故nmap判断对方所有端口关闭。k) sm(tcp maimon scan)参数扫描如图2-8 图2-8 sm参数扫描2-sm扫描实际是将sck和fin置位，对方以rst应答，nmap判断对方的所有端口都是开放或者被过滤的。l) so(ip protocol scan)参数扫描如图2-9 图2-9 so参数扫描2-so扫描了ip协议相关的配置，如对方开放了icmp协议、tcp协议以及udp协议，而igmp、ip、ipv6、esp以及ah协议被检测为open|filte

7、red。m) scanflags(custom tcpscan)参数扫描如图2-10 图2-10 scanflags 2 参数扫描2-scanflags 2 其实就是syn扫描机-ss所以扫描的结果与-ss（图2-1）应该基本相同。3 深入了解nmap os指纹库的结构和含义a) 利用-o参数扫描2如图3-1-a和3-1-b图3-a-1 o参数扫描2第一屏图3-b-2 o参数扫描2第二屏由于使用了-d 参数，所以nmap会打印出匹配的指纹信息，下面我们就讨论一下，这些指纹信息是如何计算出来的，以及n

8、map是如何通过指纹库判断操作系统的。b) scan行此行反映了扫描的环境信息，如v=5.21说明nmap的版本是5.21，p=i686-pc-windows-windows说明扫描者的平台是i686，操作系统是windows系列的。还有一些选项，不知道其具体是什么意思，但这对判断操作系统应该影响不大，所以就没有深入研究。c) seq行首先，我们看看nmap-os-db中对应于fingerprint microsoft windows xp sp2，的seq行：seq(sp=fa-108%gcd=1-6%isr=106-110%ti=i%ii=i%ss=s%ts=0)。下面我们先计算gcd：

9、由nmap的官方文档/book/osdetect-methods.html#osdetect-gcd 可知，gcd是由packet #1-packet #6 这六个报文的响应报文推到而来的，下面我们找到这些报文，我们首先找到 packet #1，可以通过如下的过滤参数得到：ip.addr=34&tcp.options.wscale_val=10&tcp.window_size=1，结果如图3-c-1：图3-c-1 packet#1报文由图3-c-1可知packet#1报文的序号为2054，那么我们就可以通过此序号找到其它的五个报文，如图3-c

10、-2： 图3-c-2 packet#x以及它们的响应报文 下面我们计算各个响应报文之间的差值，以及差值的最大公约数。我们用数组diff1保存各个差值，并只给出计算diff10的详细过程，以及相关数据包的截图。第一个响应报文为2055号报文，报文内容如图3-c-3：图3-c-3 2055号报文wireshark截图wireshark用相对值反映tcp的isn，我们必须用实际的isn，那么isn=0x54f7491f。第二个响应报文为2057号报文，报文的内容如图3-c-4：图3-c-4 2057号报文的wireshark截图isn=0xee7f5d13，所以diff10= 0xee7f5d13-

11、0x54f7491f=0x998813f4由于响应报文的isn依次为：0x54f7491f、0xee7f5d13、0x34447a3c、0xf9b8bea0、0xc0c45029、0x7f375ad7同理可得（具体报文请参考os_detect.pcap文件）：diff10= 0xee7f5d13-0x54f7491f=0x998813f4（已得到）diff21= 0x34447a3c-0xee7f5d13+0xffffffff=0x45c51d28diff32=0xf9b8bea0-0x34447a3c=0xc5744464diff43= 0xf9b8bea0-0xc0c45029=0x38f

12、46e77diff54= 0xc0c45029-0x7f375ad7=0x418cf552由此可得：gcd=（0x998813f4，0x45c51d28，0xc5744464，0x38f46e77，0x418cf552）=1，也就是gcd在1和6之间。与nmap的打印结果不同。下面计算isr：我们用数组seq_rates表示各个响应报文之间的初始序列号增长率，那么通过图3-c-2和diff1数组可以计算seq_rates：seq_rates0= 0x998813f4/(4.965939-4.856578)= 23553479320.78seq_rates1= 0x45c51d28/(5.075

13、279-4.965939)= 10705560270.72seq_rates2= 0xc5744464/(5.184631-5.075279)= 30294198880.68seq_rates3= 0x38f46e77/(5.294036-5.184631)= 8733998985.42seq_rates4= 0x418cf552/(5.403459-5.294036)= 10050509326.19avg(seq_rates)=( 23553479320.78+10705560270.72+30294198880.68+8733998985.42+8733998985.42+10050509

14、326.19)/5=16667549356.758isr=8*log16667549356.758=0x10f,但不知为什么与nmap打印的0x106有一定的偏差。说明：log的底默认为2下面计算sp：sp= 8*logstandarddivision（seq_rates）=8*log 9687277259.89=0x109，但nmap打印的0x105，计算的结果还是与nmap的有些偏差。下面计算ti:探测seq响应报文（图3-c-2中有响应的序列号）的ip_id分别为：16538、16541、16542、16543、16544、16545，显然，ip_id的增量小于10，所以ti=i，与nm

15、ap的打印结果一致。下面计算ci：由于ci要由t5、t6、t7的响应报文计算出来，下面我们就找到t2-t7，在wireshark中输入过滤参数：ip.addr=34&tcp.options.mss_val=265得到过滤结果如图3-c-5图3-c-5找到t2报文由图3-c-5可知t2的报文序列号为2074，下面我们可以找到t2-t7如图3-c-6所示图3-c-6 t2-t7以及它们的响应报文下面我们看看t5、t6、t7的响应报文的ip_id，请看图3-c-7、图3-c-8和图3-c-9，图3-c-7 t5的响应报文图3-c-8 t6的响应报文图3-c-9 t7的响应报文

16、从以上3个图可以看出，t5、t6、t7响应报文的ip_id分别为：16553、16554、16555，显然它们的差值小于10所以ci=i，这与nmap的打印结果一致。下面计算ii：由于ii需要ie探测包的响应报文，那么我们就先找到两个ie探测包，使用如下wireshark过滤参数：ip.addr=34&icmp得到如图3-c-10的结果图3-c-10 ie探测包及其响应报文下面我们得到两个ie探测包响应报文的截图，如图3-c-11和图3-c-12图3-c-11 第一个ie探测包响应报文图3-c-12第二个ie探测包响应报文由以上两个图可以看出ip_id分别为，16546

17、、16547，所以它们的差值为1，小于10，所以ii=i，这与nmap的打印结果一致。下面计算ss：探测seq响应报文（图3-c-2中有响应的序列号）的ip_id分别为：16538、16541、16542、16543、16544、16545，那么有：agv=（16545-16538）/（6-1）=1.4；又由于第一个icmp响应报文ip_id为16546，所以1654616545+3*1.4，所以ss=s，这与nmap的打印结果一致。其实，这个结果根本不用算，因为icmp的ip_id为16546，最后一个tcp的ip_id为16545，这正好是连续的。下面计算ts：我们先看看packet #1

18、的响应报文，如图3-c-13图3-c-13 packet#1的响应报文由图3-c-13可知，此报文tsval为0，所以ts=0，这与nmap的打印结果一致。即：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)d) ops行由于前面我们已经找到了所有的packet#1-packet#6，这里就不在全部截图了，而只给一个例子，packet#1的响应报文如图3-d-1所示图3-d-1packet#1响应报文的ops所以可得：o1=m5b4nw0nnt00nns；同理可得：o2=m5b4nw0nnt00nns；o3=m5b4nw0nnt00；04=

19、m5b4nw0nnt00nns；o5=m5b4nw0nnt00nns；o6=m5b4nnt00nns；这个结果与nmap的打印结果完全一致。即：ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns) e) win行由于前面我们已经找到了所有的packet#1-packet#6，这里就不在全部截图了，而只给一个例子，packet#1的响应报文如图3-e-1所示图3-e-1 packet#1响应报文的windows size由图3

20、-e-1可得：w1=ffff；同理可得：w2=ffff；w3=ffff；w4=ffff；w5=ffff；w6=ffff；这与nmap的打印结果完全相同。即：win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)f) ecn行我们首先找到ecn cwr报文，利用以下wireshark的过滤参数：ip.addr=34&tcp.flags.syn&tcp.window_size=3得到如图3-f-1所示的结果：图3-f-1 找到ecn cwr报文由图3-f-1可知，ecn cwr报文的序列号为2072，下面我们定位其响应报文，

21、如图3-f-2所示下面计算r：由图3-f-2可知，ecn cwr报文由响应报文，所以r=y，这与nmap的打印信息一致。下面计算df：由图3-f-2可知，df标志位置1，所以df=y，这与nmap的打印信息一致。下面计算t：由于扫描的是局域网内的计算机，所以受到对方的ip数据包中的ttl即为初始ttl，由图3-f-2可以看到ttl=128，也就是十六进制的80，所以t=80，这与nmap的打印结果一致。图3-f-2 ecn cwr报文的响应报文下面计算w：由图3-f-2可知windows size为65535，即十六进制的0xffff，所以w=ffff，这与nmap的打印结果一致。下面计算o：

22、由图3-f-2的ops字段可知：o=m5b4nw0nns这与nmap的打印结果一致。下面计算cc：由图3-f-2的tcp头部的flag字段可知ece与cwr字段均没有置位，所以cc=n，这与nmap的打印结果一致。下面计算q：由于ecn、cwr以及urg均没有置位，所以根本不会存在文档中所说的所谓的巧合，所以q什么值都没有鸡q=，这与nmap的打印结果一致。即：ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)g) t1行t1即为packet#1，由于我们在前面已经找到了packet#1报文，下面我们只给出其响应报文，如图3-g-1所示图3-g-1 t

23、1响应报文下面计算r：由图3-g-1可知t1有响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图3-g-1可知df被置位，所以df=y，这与nmap的打印结果一致。下面计算t：由图3-g-1可知ttl=128,也就是十六进制的80，所以t=80，这与nmap的打印结果一致。下面计算s：下面我们把图3-g-1中的sequence number做一个特写，如图3-g-2所示图3-g-2 t1的响应报文的sequence number我们还要知道请求报文，即t1的acknowledgement number，如图3-g-3所示：由图3-g-2可知t1响应报文的sequence nu

24、mber为0x54f7491f，而由图3-g-3可知t1的acknowledgement number为0xefd97016，所以s=o，这与nmap的打印结果一致。图3-g-3 t1的acknowledgement number下面计算a：从图3-g-3可知t1的sequence number为0xa8975c01，且由图3-g-2可知t1的响应报文的acknowledgement number为0xa8975c02，因此ack为syn+1，即a=s+，这与nmap的打印结果一致。下面计算f：由图3-g-2可知，t1响应报文的tcp的flags字段syn和ack被置位，所以f=as，这与nm

25、ap的打印结果一致。下面计算rd：由图3-g-2可知，t1响应报文的tcp层根本没有携带用户层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-g-2可知，t1响应报文的tcp头的flags字段的ecn、cwr以及urg字段均没有置位，所以q的置位空，即q=，这与nmap的打印结果一致。即：t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)h) t2行下面我们找到t2报文，通过过滤参数：ip.addr=34&tcp.flags=0，可以得到如图3-h-1图3-h-1 t2报文全貌由图3-h-1可知，t1报文的序列号为207

26、4，下面我们找到其响应报文，如图3-h-2所示下面计算r：由图3-h-2可知，t2报文有响应报文，所以r=y，这与nmap的打印信息一致。下面计算df：由图3-h-2可知，t2的响应报文的ip头的flags字段的df没有置位，即df=n，这与打印结果一致。图3-h-2 t2响应报文全貌下面计算t：由图3-h-2可知，t2响应报文的ttl为128，由于是在局域网中测试的，所以ttl的值即为t的值，即t=80（十六进制），这与nmap的打印信息一致。下面计算w：由图3-h-2可知，t2响应报文的widows size为0，即w=0，这与nmap的打印结果一致。下面计算s：由图3-h-2可知，t2响

27、应报文的sequence number为0，所以s=z，这与nmap的打印结果一致。下面计算a：由图3-h-1可知，t2报文的sequence number为0xa8975c01，而由图3-h-2可知，t2响应报文的acknowledgement number也为0xa8975c01，所以a=s，这与nmap的打印结果一致。下面计算f：由图3-h-2可知，t2响应报文的tcp头部flags字段rst与ack字段被置位，所以f=ar，这与nmap的打印结果一致。下面计算o：由图3-h-2可知，t2响应报文的tcp头部的ops字段没有数据，所以o为空，即o=，这与nmap的打印结果一致。下面计算r

28、d：由图3-h-2可知，t2的响应报文tcp层根本没有携带用户层的数据，因此rd=0，这与nmap的打印结果一致。下面计算q：由图3-h-2可知，t2的响应报文的tcp头部的flags的ecn、cwr以及urg均没有置位，所以q为空，即q=，这与nmap的打印结果一致。即：t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=%rd=0%q=)i) t3行首先我们找到t3报文，t3报文就在t2报文的下面，t3报文如图3-i-1所示，而t3的响应报文如图3-i-2所示。下面计算r：由图3-i-2可知，t3报文有响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图

29、3-i-2可知，t3响应报文的ip头的flags字段的df被置位，所以df=y，这与nmap的打印结果一致。下面计算t：由图3-i-2可知，t3响应报文的ip头的ttl字段的值为128，即十六进制的0x80，由因为对方主机与扫描主机在同一个局域网，所以t也为128，即t=80，这与nmap的打印结果一致。下面计算w：由图3-i-2可知，t3响应报文的tcp头部的windows size字段的值为65535，即十六进制的0xffff，所以w=ffff，这与nmap的打印结果一致。下面计算s：由图3-i-1可知，t3报文的acknowledgement number字段值为0xefd97016，而

30、由图3-i-2可知，t3响应报文的sequence number字段值为0xfcd729be，所以s=o，这与nmap的打印结果一致。图3-i-1 t3报文全貌下面计算a：由图3-i-1可知，t3报文的sequence number值为0xa8975c01，且由图3-i-2可知t3响应报文的acknowledgement number的值为0xa8975c02，所以a=s+，这与nmap的打印结果一致。下面计算f：由图3-i-2可知，t3响应报文的tcp头部的flags字段的syn、ack均被置位，所以f=as，这与nmap的打印结果一致。下面计算o；由图3-i-2中的t3响应报文的tcp头部

31、的ops字段可知：o=m5b4nw0nnt00nns这与nmap的打印结果一致。图3-i-2 t3的响应报文下面计算rd：由图3-i-2可知，t3响应报文的tcp层根本没有携带用户层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-i-2可知，t3的响应报文的tcp头部的flags的ecn、cwr以及urg均没有置位，所以q为空，即q=，这与nmap的打印结果一致。即：t3(r=y%df=y%t=80%w=ffff%s=o%a=s+%f=as%o=m5b4nw0nnt00nns%rd=0%q=)j) t4行首先我们找到t4报文，t4报文就在t3报文的下面，t4报文如图3-j

32、-1所示，而t4的响应报文如图3-j-2所示。图3-j-1 t4报文全貌下面计算r：由图3-j-2可知，t4报文有响应报文，所以r=y，这与nmap的打印信息一致。下面计算df:由图3-j-2可知，t4响应报文的ip头部的flags字段中的df没有置位，所以df=n，这与nmap的打印结果一致。下面计算t：由图3-j-2可知，t4的响应报文的ip头部的ttl字段的值为128，即十六进制的0x80，又由于对方主机与扫描主机在同一个局域网，所以t=80，这与nmap的打印结果一致。下面计算w：由图3-j-2可知，t4响应报文的tcp头部的windows size的值为0，所以w=0，这与nmap的

33、打印结果一致。下面计算s：由图3-j-1可知，t4报文的tcp头部的acknowledgement number为0xefd97016；且由图3-j-2可知，t4响应报文的tcp头部的sequence number也为0xefd97016，所以s=a，这与nmap的打印结果一致。下面计算a：由图3-j-1可知，t4报文的tcp头部的sequence number为0xa8975c01；而由图3-j-2可知，t4响应报文的tcp头部的acknowledgement number为0xefd97016，所以a=o，这与nmap的打印结果一致。下面计算f：由图3-j-2可知，t4响应报文的tcp头部

34、的flags字段的rst被置位，所以f=r，这与nmap的打印结果一致。下面计算o：由图3-j-2可知，t4响应报文的tcp的ops字段没有数据，所以o的置位空，即o=，这与nmap的打印结果一致。下面计算rd：由图3-j-2可知，t4响应报文的tcp层没有携带用户层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-j-2可知，t4响应报文的tcp头部的flags字段中的ecn、cwr以及urg都没有置位，所以q的值为空，即q=，这与nmap的打印结果一致。即：t4(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)图3-j-2 t4响应报文

35、全貌k) t5行首先我们找到t5报文，t5报文就在t4报文的后面，t5报文如图3-k-1所示，然后再找到t5报文的响应报文，如图3-k-2。下面计算r：由图3-k-2可知，t5报文有响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图3-k-2可知，t5响应报文的ip头部的flags字段的df位没有被置位，所以df=n，这与nmap的打印结果一致。下面计算t：由图3-k-2可知，t5响应报文的ip头部的ttl字段的值为128，即十六进制的0x80，而对方的主机与扫描主机在同一个局域网内，所以t也为128，即t=80，这与nmap的打印结果一致。下面计算w：由图3-k-2可知，t

36、5响应报文的tcp头部的windows size的值为0，所以w=0，这与nmap的打印结果一致。下面计算s：由图3-k-2可知，t5响应报文的tcp头部的sequence number的值为0，所以s=z，这与nmap的打印结果一致。下面计算a：由图3-k-1可知，t5报文的tcp头部的sequence number的值为0xa8975c01；且由图3-k2可知，t5响应报文的acknowledgement number的值为0xa8975c02,所以a=s+，这与nmap的打印结果一致。图3-k-1 t5报文全貌图3-k-2 t5响应报文的全貌下面计算f：由图3-k-2可知，t5响应报文的

37、tcp头部的flags字段的rst和ack被置位，所以f=ar，这与nmap的打印结果一致。下面计算o：由图3-k-2可知，t5响应报文的tcp的ops字段没有数据，所以o值为空，即o=，这与nmap的打印结果一致。下面计算rd：由图3-k-2可知，t5响应报文的tcp层没有携带用户层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-k-2可知，t5响应报文的tcp头部的flags字段的ecn、cwr以及urg都没有置位，所以q的值为空，即q=，这与nmap的打印结果一致。即：t5(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)l)

38、t6行我们先找到t6报文，t6报文就在t5报文的后面，t6报文如图3-l-1所示，然后找到t6的响应报文如图3-l-2所示。图3-l-1 t6报文的全貌下面计算r：由图3-l-2可知，t6报文有响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图3-l-2可知，t6响应报文的ip头部的flags字段的df未被置位，所以df=n，这与nmap的打印结果一致。图3-l-2 t6响应报文的全貌下面计算t：由图3-l-2可知，t6响应报文的ip头部的ttl字段的值为128，即十六进制的0x80，又由于被扫描主机与扫描主机在同一个局域网中，所以t=80，这与nmap的打印结果一致。下面计

39、算w：由图3-l-2可知，t6响应报文的tcp头部的windows size的值为0，所以w=0这与nmap的打印结果一致。下面计算s：由图3-l-1可知，t6报文的tcp头部的acknowledgement number的值为0xefd97016；且由图3-l-2可知，t6响应报文的tcp头部的sequence number的值也为0xefd97016，所以s=a，这与nmap的打印结果一致。下面计算a：由图3-l-1可知，t6报文的tcp头部的sequence number的值为0xa8975c01；而由图3-l-2可知，t6响应报文的tcp头部的acknowledgement numbe

40、r的值为0xefd97016，所以a=o，这与nmap的打印结果一致。下面计算f：由图3-l-2可知，t6响应报文的tcp头部的flags字段的rst被置位，所以f=r，这与nmap的打印结果一致。下面计算o：由图3-l-2可知，t6响应报文的tcp头部的ops字段没有数据，所以o为空，即o=，这与nmap的打印结果一致。下面计算rd：由图3-l-2可知，t6响应报文的tcp层没有携带用户层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-l-2可知，t6响应报文的tcp的头部的flags字段的ecn、cwr以及urg都没有置位，所以q的值为空，即q=，这与nmap的打印结

41、果一致。即：t6(r=y%df=n%t=80%w=0%s=a%a=o%f=r%o=%rd=0%q=)m) t7行我们首先找到t7报文，t7报文就在t6报文的后面，t7报文如图3-m-1所示，然后找到t7的响应报文，如图3-m-2所示。下面计算r：由图3-m-2可知，t7报文有响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图3-m-2可知，t7响应报文的ip头部的flags字段的df位没有被置位，所以df=n，这与nmap的打印结果一致。下面计算t：由图3-m-2可知，t7响应报文的ip头部的ttl的值为128，即十六进制的0x80，又由于被扫描主机和扫描主机在同一个局域网之

42、内，所以t=ttl=80，这与nmap的打印结果一致。下面计算w：由图3-m-2可知，t7响应报文的tcp头部的windows size 字段的值为0，所以w=0，这与nmap的打印结果一致。图3-m-1 t7报文全貌下面计算s：由图3-m-2可知，t7响应报文的tcp头部的sequence number字段的值为0，所以s=z，这与nmap的打印结果一致。下面计算a：由图3-m-1可知，t7报文的tcp头部的sequence number字段的值为0xa8975c01；且由图3-m-2可知，t7报文的tcp头部的acknowledgement number字段的值为0xa8975c02，所以

43、a=s+，这与nmap的打印结果一致。下面计算f：由图3-m-2可知，t7响应报文的tcp头部的flags字段的rst与ack被置位，所以f=ar，这与nmap的打印结果一致。图3-m-2 t7响应报文全貌下面计算o：由图3-m-2可知，t7响应报文的tcp头部没有ops字段，所以o的值为空，即o=，这与nmap的打印结果一致。下面计算rd：由图3-m-2可知，t7响应报文的tcp层没有携带应用层的数据，所以rd=0，这与nmap的打印结果一致。下面计算q：由图3-m-2可知，t7响应报文的tcp头部的flags字段的ecn、cwr以及urg都没有置位，所以q的值为空，即q=，这与nmap的打

44、印结果一致。即：tos:7(r=y%df=n%t=80%w=0%s=z%a=s+%f=ar%o=%rd=0%q=)n) u1行首先我们找到udp数据包u1，使用过滤参数：ip.addr=34&udp，结果如图3-n-1所示图3-n-1 u1数据包全貌由图3-n-1可知，对方应答u1数据包的是一个报告目的端口不可达的icmp报文，icmp报文如图3-n-2所示。图3-n-2 响应u1的icmp报文下面计算r：由图3-n-2可知，u1包有icmp响应报文，所以r=y，这与nmap的打印结果一致。下面计算df：由图3-n-2可知，u1响应报文（icmp报文）的ip头部的fla

45、gs字段的df没有置位，所以df=n，这与nmap的打印结果一致。下面计算t：由图3-n-2可知，u1响应报文的ip头部的ttl的值为128，即十六进制的0x80，又由于被扫描主机和扫描主机在同一个局域网内，所以t=ttl=80，这与nmap的打印结果一致。下面计算ipl：由图3-n-2可知，u1响应报文的ip头部的total length的值为176，也就是十六进制的0xb0，所以ipl=b0，这与nmap的打印结果一致。下面计算un：下面我们给icmp头部一个特写，如图3-n-3所示：图3-n-3 icmp图标特写由图3-n-3可知，icmp头部的后4个字节为零，所以un=0，这与nmap

46、的打印结果一致。下面计算ripl:由图3-n-2可知，icmp报文内部的ip包的total length字段为328，所以ripl=g，这与nmap的打印结果一致。下面计算rid：由图3-n-2可知，icmp报文内部的ip包的ip_id为0x1042，所以rid=g，这与nmap的打印结果一致。下面计算ripck：由于被扫描主机与扫描主机是在同一个局域网内，所以ip头部的校验和不会被路由器改变（因为报文不经过路由）。那么我们就可以简单的比较一下u1包的ip头校验和与icmp包内部的ip头校验和是否相等。由图3-n-1可知u1包ip头校验和为0x25a3，且有图3-n-2可知icmp包内部的ip

47、头校验和也为0x25a3，这说明校验和与ip报文匹配，所以ripck=g，这与nmap的打印结果一致。下面计算ruck：由图3-n-1可知，u1的udp校验和为0xe237,且由图3-n-2可知，icmp包中的udp校验和也为0xe237，所以ruck=g，这与nmap的打印结果一致。下面计算rud：下面我们给出icmp包返回的udp数据部分的特写，如图3-n-4所示图3-n-4 icmp包中udp数据部分的特写由图3-n-4可知，数据部分都为0x43（c），所以ruck=g，这与nmap的打印结果一致。即：u1(r=y%df=n%t=80%ipl=b0%un=0%ripl=g%rid=g%r

48、ipck=g%ruck=g%rud=g)o) ie行首先我们找到两个ie探测包，使用如下过滤参数：ip.addr=34&icmp，结果如图3-o-1图3-o-1 两个ie探测包及其响应报文图3-o-2 响应报文1图3-o-3 响应报文2下面计算r：由图3-o-1可知，两个ie探测包都有应答包，所以r=y，这与nmap的打印信息一致。下面计算dfi：首先响应报文1如图3-o-2，响应报文2如图3-o-3由于第一个ie探测报文df置位，且由图3-o-2可知其响应报文df也置位；而第二个ie探测报文df没有置位，且由图3-o-3可知其响应报文的df也没有置位，所以dfi=s，

49、这与nmap的打印结果一致。下面计算t：由图3-o-2可知，第一个响应报文的ip头部的ttl字段的值为128，即十六进制的0x80。又由于被扫描主机与扫描主机在同一个局域网内，所以t=ttl=80这与nmap的扫描结果一致。下面计算cd：由图3-o-2可知，第一个响应报文的icmp头部的code字段的值为0；且由图3-o-3可知，第二个响应报文的icmp头部的code字段的值也为0，所以cd=z，这与nmap的打印结果一致。即：ie(r=y%dfi=s%t=80%cd=z)4 结论：所以最终的指纹信息为：seq(sp=109%gcd=1%isr=10f %ti=i%ci=i%ii=i%ss=s%ts=0)ops(o1=m5b4nw0nnt00nns%o2=m5b4nw0nnt00nns%o3=m5b4nw0nnt00%o4=m5b4nw0nnt00nns%o5=m5b4nw0nnt00nns%o6=m5b4nnt00nns)win(w1=ffff%w2=ffff%w3=ffff%w4=ffff%w5=ffff%w6=ffff)ecn(r=y%df=y%t=80%w=ffff%o=m5b4nw0nns%cc=n%q=)t1(r=y%df=y%t=80%s=o%a=s+%f=as%rd=0%q=)t2(r=y%df=n%t=80%w=0%s=z%a=s%f=ar%o=