TCP/IP 協議棧指紋有哪些探測方法

TCP/IP協議棧指紋有以下探測方法：

• FIN標志位探測：按照RFC793的規定，主機上開放的端口對到達的FIN標志位設置為1的TCP數據包通常不響應。但是Windows、CISCO、HP/UX及IRIX等操作系統會返回一個RST標志位設置為1的TCP數據包。

• BOGUS標記探測：如果在SYN包的TCP頭部里設置一個未定義的TCP“標記”（64或128），并向遠程目標主機發送這個數據包，某些操作系統，如Linux 2.0.35以前的版本等返回的數據包中就會保持這個未定義的標記，而其他一些系統收到SYN+BOGUS包后將關閉連接，利用這些特性可以識別一些操作系統。

• TCP ISN取樣：ISN是初始化序號，即TCP通信的任何一方在TCP連接建立時發出的第一個TCP報文的序號字段。這種操作系統檢測方法需要收集目標操作系統的ISN信息，通常會向目標主機系統多次發送TCP連接請求，相應收集目標系統的連接響應并對其中的ISN信息進行分析。一些操作系統的ISN是隨機增長的，如Solaris、IRIX和FreeBSD等，還有一些操作系統的ISN與時間相關，每經過一段時間ISN的值會有一個固定的增長，也有操作系統的ISN是完全隨機變化的，如Linux 2.0以上的版本、OpenVMS和新版的AIX等。

• DF檢測：一些操作系統會在發送的數據包中設置IP頭部DF（Don’t Fragment）位來改善性能。在某些系統中，如Solaris等，可以通過監視這個位來進行識別。

• TCP初始化窗口大小：這種探測方法是對TCP連接建立時TCP包首部的窗口字段進行監視，因為很多操作系統的TCP初始化窗口的大小為常數。例如，Windows、FreeBSD及Open BSD系統的初始化窗口值為0x402E，AIX系統的初始化窗口值為0x3F25。

• ACK確認號的值：操作系統接收到一些特別設計的TCP數據包時，響應數據包中ACK確認號的值會表現出一定規律。如果發送FIN、PSH、URG標志位都被設置為1的TCP數據包到關閉的端口，一些操作系統會將ACK確認號設置為所接收到的TCP數據包的ISN值，而Windows會將ACK確認號設置為ISN值加1。

• TCP選項：TCP報文段首部結構中的選項域是可選的，并不是所有操作系統都支持。向目標主機發送包含選項信息的數據包，目標主機如果支持這些選項，將會在應答包中也進行相應的設置。如Nmap掃描軟件通常會在掃描數據包中同時設置多個選項，從而提高檢測的準確性。

• ICMP差錯報告報文統計：一些操作系統對ICMP差錯報告報文的發送頻率進行了限制。例如，Linux內核限制目的不可達報文每4s最多發送80個。通過某個隨意選定的高位端口發送UDP包，可以統計出在某個給定時間段內接收到的不可達出錯信息的數目，這樣就可以計算出目標主機ICMP出錯信息的發送頻率，從而識別出操作系統類型。例如，Linux內核限制（在net/ipv4/ic-mp.h中定義）不可達消息的生成頻率為20個/s。

• ICMP消息引用：RFC中規定ICMP錯誤消息通常會引用一部分引起錯誤的源消息。當需要發送ICMP出錯消息時，不同的操作系統引用源消息的信息量也各不相同。通過檢測所引用的消息，可以粗略識別操作系統的類型。例如，對一個端口不可達的消息，大多數的操作系統只會返回IP請求頭外加8B。然而，Solaris卻會多返回一位，而Linux則會多返回更多位。這使得即使在沒有開放端口的情況下，也可以區分Linux和Solaris操作系統。

• TOS服務類型：對于ICMP端口不可達消息，多數操作系統返回包的服務類型值是0，而有些操作系統（如Linux）的返回值卻是0xC0。

• SYN洪泛限度：如果收到過多的偽造SYN數據包，一些操作系統會停止新的連接嘗試。許多操作系統只能處理8個包。

• TCP協議可選項：TCP首部包含可選項部分。這些可選項主要用于通信雙方協商特殊的通信要求，增強了TCP協議通信的可靠性。

回答所涉及的環境：聯想天逸510S、Windows 10。