远程主机被动协议栈指纹识别-新网 -

新网 > 主机-资讯 > 正文

远程主机被动协议栈指纹识别

主动的协议栈指纹识别需要主动向目标发送数据包但由于正常使用网络时数据包不会按照这样的顺序出现因此这些数据包在网络流量中比较惹人注意容易被 IDS捕获。

为了提高隐蔽性需要使用被动协议栈指纹识别他的原理和主动协议栈指纹识别相似但是它从不主动发送数据包只是被动地捕获远程主机返回的包来分析其操作系统类型一般观察一下四个方面。

1）TTL值

操作系统对出站的数据包设置的存活时间

2）Windows Size

操作系统设置的TCP窗口大小这个大小是在发送FIN信息包时包含的选项

3）DF

可以查看操作系统是否设置了不准分片位

4）TOS

查看操作系统是否设置了服务类型

被动分析这些属性并将得到的结果与属性库比较以判断远程操作系统类型。当然探测到的系统不可能100%正确也不可能依靠上面的单个信号特征来判断操作系统类型，但是通过查看多个信号特征把足够多的差异结合起来可以大大提高对远程主机系统判断的精确程度。

免责声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，也不承认相关法律责任。如果您发现本社区中有涉嫌抄袭的内容，请发送邮件至：operations@xinnet.com进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。