网络安全的侦测与工具(一)(3) ·Microsoft Windows NT,98,95,和3.11
·FreeBSD
·CISCO
·HP/UX
大多数其它系统不会回应。虽然你只不过缩小了一点范围,但这至少开始了你对目标系统的了解。如果你向目标系统发送的报文头有未定义标志的TCP包的话,2.0.35版本以前的LINUX系统会在回应中加入这个未定义的标志。这种特定的行为使你可以判断出目标主机上是否运行该种LINUX操作系统。
下列是堆栈指纹程序利用的部分特征,许多操作系统对它们的处理方式不同:
·ICMP错误信息抑制
·服务类型值(TOS)
·TCP/IP选项
·对SYN FLOOD的抵抗力
·TCP初始窗口:只要TCP开始进行三次握手,总是先发出一个SYN包。像NMAP这样的程序会发出一个SYN包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式中推论出目标操作系统的一些情况。
