概述

本文討論了如何查詢一臺主機的TCP/IP協(xié)議棧來收集寶貴的信息。首
先，我列舉了棧指紋之外的幾種“經(jīng)典的”操作系統(tǒng)辨識方法。然后
我描述了棧指紋工具的“工藝現(xiàn)狀”。接下來說明讓遠程主機泄漏其
信息的一些技術(shù)。最后詳述了我的實現(xiàn)（nmap），和用它獲得的一些
流行網(wǎng)站的操作系統(tǒng)信息。
理由熱點網(wǎng)絡(luò)

我認為辨識一個系統(tǒng)所運行OS的用處是相當顯而易見的，所以這一節(jié)
會很短。最有力的例子之一是許多安全漏洞是OS相關(guān)的。試想你正在
作突破試驗并發(fā)現(xiàn)53端口是打開的。如果那是易遭攻擊的bind版本，
則你只有一次機會利用它因為失敗的嘗試會殺死守護程序。有了正確
的TCP/IP指紋，你將很快發(fā)現(xiàn)它運行的是'Solaris 2.51'或者'Linux 2.0.35'
而因此調(diào)整你的外殼代碼。

一個比較糟的例子是某人掃描500，000臺主機以找出它們運行什么OS
和哪些端口是打開的。然后等誰貼（說）有一個root漏洞在Sun的comsat
守護程序里，我們的小朋友能從人家的列表中找出 'UDP/512'和'Solaris 2.6'
這兩個詞，并立即得到了整頁整頁的可得到root特權(quán)的盒子。必須認
識到那是腳本小子（SCRIPT KIDDIE）的行為。你證明了你的無能而
且沒有人，甚至對方也，對你能找到?jīng)]有及時修補漏洞而易受攻擊的
.edu之事留有印象。人們也_較少_留有印象如果你用你新找到的通路
去破壞政府的web 站，換以一個自大的你如何強大而管理員們?nèi)绾斡?BR>蠢的話的話。。

另一個用法是社會工學。假如你掃描目標公司而namp報告一個'Datavoice
TxPOR TPRISM 3000 T1 CSU/DSU 6.22/2.06'。則黑客就以'Datavoice
support'為名打電話并討論他們PRISM 3000的一些問題。“我們正要
公布一個安全漏洞，但希望我們現(xiàn)在的客戶先安裝補丁--我剛剛寄給
你...”一些天真的管理員會假定只有Datavoice指定的工程師才會對
他們的CSU/DSU知道的如此之多。

這個能力另一個潛在的用途是評價你要交易的公司。在選擇一個新ISP
前，掃描它們看用的是什么設(shè)備。那些“ 99美元/年”的買賣不向聽
起來那么好當你發(fā)現(xiàn)它們用廉價的路由器并用一堆運行Windows 的機
器提供PPP 服務(wù)的時候。

經(jīng)典技術(shù)

棧指紋以獨特的方式解決OS辨識的問題。我想這個技術(shù)最有把握，但
現(xiàn)在有許多其他解決方案。遺憾的是，這仍是其中最有效的：

playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12...
Connected to hpux.u-aizu.ac.jp.
Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

沒有必要在指紋上費這么大力氣，如果機器能大聲對世界說明它們運
行的是什么！遺憾的是，許多制造商交付帶有這類標志的_現(xiàn)有的_系
統(tǒng)而且許多管理員沒有關(guān)上它。[譯者：原文如此]只是因為還有其他
方法找出運行的OS（例如指紋），但不是說我們應(yīng)該通知每個嘗試連
接的笨蛋我們的OS和體系結(jié)構(gòu)。

依靠這個技術(shù)的問題是越來越多的人把標志關(guān)閉，許多系統(tǒng)不給出更
多信息，還有少數(shù)在標志中“說謊”。不過，你得到全部就是讀標志
方式的OS和OS版本檢查，如果你把上千美元花在商業(yè)的ISS 掃描器上
的話。下載nmap或queso代替它們可以替你省錢:)。

即使你關(guān)閉了標志，當被詢問時許多應(yīng)用程序仍然很高興給出這類信
息。例如這個FTP服務(wù)器：

payfonez> telnet ftp.netscape.com 21
Trying 207.200.74.26...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS

首先，它給出了它默認的系統(tǒng)細節(jié)標志。然后如果我們給出'SYST'命
令它愉快地送回更多信息。

如果FTP的anon被支持，我們經(jīng)常可以下載/bin/ls或其他的二進制文
件而測定它所建造的體系結(jié)構(gòu)。 許多其他應(yīng)用程序?qū)π畔⑻S便了。比如web服務(wù)器：

playground> echo 'GET / HTTP/1.0/n' | nc hotbot.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0
playground>

Hmmm ... 我對這些家伙運行的感到驚訝。

其他經(jīng)典技術(shù)包括DNS 主機信息記錄（不太有效）和社會工學。如果
它在聽161/udp (snmp)，用CMU SNMU工具包里的'snmpwalk'和'public'
通信名你肯定能獲得一大堆信息。

當前指紋問題

Nmap不是第一個用TCP/IP指紋辨識OS的程序。Johan的通用的IRC欺騙
程序sirc包括了非常基本的指紋技術(shù)從版本3 （或更早）開始。它嘗
試把主機分為 "Linux","4.4BSD", "Win95", 或 "Unknown"幾類通過
幾個簡單TCP標志測試。

另一個這樣的程序是checkos，作者Shok對版本7終于有了信心在今年
一月公開發(fā)行。指紋技術(shù)和SIRC的完全一樣，甚至_代碼_都有許多同
樣之處。Checkos 在公開發(fā)行前私下流傳了很久，所以不知誰偷誰的。
但看起來誰都不信任對方。checkos增加的是telnet 標志檢查，有用
但有前面說的問題。[更新：Shok寫信來說checkos無意公開發(fā)行而這
就是為什么他沒有找SIRC要那些代碼的許可。]

Su1d也寫了一個OS檢查程序。他稱它叫SS其版本3.11可以辨識12個不
同的OS類型。我有些偏愛它因為他許可我的nmap程序一些網(wǎng)絡(luò)代碼:)。

然后是queso 。這是最新的而且對其他程序是一個巨大的飛躍。不僅
是因為它們推出了一些新測試，而且它們是首先（就我所見）把OS指
紋_移出_代碼的。其他掃描的代碼象：

/* from ss */
if ((flagsfour & TH_RST) && (flagsfour & TH_ACK) && (winfour == 0) &&
(flagsthree & TH_ACK))
reportos(argv[2],argv[3],"Livingston Portmaster ComOS");

相反，queso 把這些代碼移到一個配置文件顯然使更易擴展而且使增
加一個OS成為在指紋文件中增加幾行的簡單工作。

Queso由Savage，Apostols.org的高手之一，所寫。

以上所述所有問題中的一個問題是只有非常有限數(shù)量的指紋測試從而
限制了回答的詳細程度。我想知道不僅是'這臺機器是OpenBSD, FreeBSD,
或者NetBSD'，我想確切知道它到底是那一個還有版本號。同樣，我希
望看到'Solaris 2.6' 而不僅僅是'Solaris'。為此，我對一系列指紋
技術(shù)進行了研究，它們將在下一節(jié)說明。
指紋方法學

有許多許多技術(shù)可以用來定義網(wǎng)絡(luò)棧指紋。基本上，你只要找出操作
系統(tǒng)間的不同并寫探測器查明它們。如果你合并足夠這些，你可以非
常細致的區(qū)分它們。例如nmap可以可靠分辨出Solaris 2.4 和Solaris 2.5-2.51
以及Solaris 2.6。他能分辨Linux內(nèi)核2.0.30到2.0.31-34或or 2.0.35。
這有一些技術(shù)：

FIN 探測器 -- 這里我們送一個FIN包（或任何其他包不帶ACK 或SYN
標記）給一個打開的端口并等待回應(yīng)。正確的RFC793行為是不
響應(yīng)，但許多有問題的實現(xiàn)例如 MS Windows, BSDI, CISCO,
HP/UX,MVS,和IRIX 發(fā)回一個RESET。許多現(xiàn)有工具利用這個技
術(shù)。

BOGUS 標記探測器 -- Queso 是我見過的第一個用這個聰明技術(shù)掃描
器。這個主意是設(shè)置一個未定義的TCP "標記"（64或128）在SYN
包的TCP頭里。Linux機器到2.0.35之前在回應(yīng)中保持這個標記。
我沒有發(fā)現(xiàn)其他OS有這個錯誤。然而，一些操作系統(tǒng)象是復位
連接當它們得到一個SYN+ BOGUS包的時候。這一行為對辨識它
們有用。

TCP ISN 取樣 -- 這個主意是找出當響應(yīng)一個連接請求時由TCP 實現(xiàn)
所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64K
（許多老UNIX機器），隨機增量（新版本的Solaris, IRIX, FreeBSD,
Digital UNIX, Cray, 和許多其他的），真“隨機”（Linux 2.0.*,
OpenVMS,新的AIX,等）。Windows 機器（和一些其他的）用一
個“時間相關(guān)”模型，每過一段時間ISN 就被加上一個小的固
定數(shù)。不用說，這幾乎和老的64K 行為一樣容易攻破。當然我
喜歡的技術(shù)是"常數(shù)"。機器總是使用確切同樣的ISN :)。我已
經(jīng)在3Com的集線器（用0x803）和Apple LaserWriter打印機（
用0xC7001 ）上看到了。

你也可以通過例如計算其隨機數(shù)的變化量，最大公約數(shù)，以及
序列數(shù)的其他函數(shù)和數(shù)之間的差異再進一步分組。

要知道ISN 的生成和安全息息相關(guān)。想了解更多情況，聯(lián)絡(luò)在
SDSC的“安全專家”Tsutome Shimmy Shimomura，問他所知道
的。Nmap是我所見到的第一個用它來辨識OS的程序。

不分段位 -- 許多操作系統(tǒng)開始在送出的一些包中設(shè)置IP的"Don't Fragment"
位。這帶來多種性能上的好處（盡管它也可能是討厭的 -- 這
就是nmap的分段掃描對Solaris機器無效的原因）。無論如何，
不是所有的OS都這樣做而且另一些做的場合不同，所以通過注
意這個位我們甚至能收集目標OS的更多信息。在那兩個程序中
沒見過這個。

TCP 初始化窗口 -- 這只包括了檢查返回包的窗口大小。較老的掃描
器簡單地用一個非零窗口在RST包中來表示“BSD 4.4 族”。新
一些的如queso 和nmap則保持對窗口的精確跟蹤因為它對于特定
OS基本是常數(shù)。這個測試事實上給出許多信息，因為有些可以被
唯一確定（例如，AIX 是所知唯一用0x3F25的）。在它們“完全
重寫”的NT5 TCP 棧中，Microsoft 用的是0x402E。有趣的是，
這和OpenBSD 與FreeBSD 中所用的數(shù)字完全一樣。

ACK 值 -- 盡管你會認為這個會完全標準，不同實現(xiàn)中一些情況下ACK
域的值是不同的。例如，如果你送了一個FIN|PSH|URG 到一個
關(guān)閉的TCP 端口。大多數(shù)實現(xiàn)會設(shè)置ACK 為你的初始序列數(shù)，
而Windows 和一些傻打印機會送給你序列數(shù)加1 。若你送一個
SYN|FIN|URG|PSH 到一個打開的端口，Windows 會非常古怪。
一些時候它送回序列號，但也有可能送回序列號加1， 甚至還
可能送回一個隨機數(shù)。我們覺得奇怪，不知微軟寫的是些什么
代碼。

ICMP 錯誤信息終結(jié) -- 一些（聰明的）操作系統(tǒng)跟從RFC 1812的建
議限制各種錯誤信息的發(fā)送率。例如，Linux 內(nèi)核（在net/ipv4/icmp.h）
限制目的不可達消息的生成每4 秒鐘80個，違反導致一個1/4
秒的處罰。測試的一種辦法是發(fā)一串包到一些隨機的高UDP 端
口并計數(shù)收到的不可達消息。沒見過用它的，而且實際上我也
沒有把它加進nmap（除了作為UDP 端口掃描用）。這個測試會
讓OS辨識多花一些時間因為需要送一批包再等它們回來。而且
對付網(wǎng)絡(luò)丟包會很痛苦。

ICMP 消息引用 -- RFC 規(guī)定ICMP錯誤消息可以引用一部分引起錯誤
的源消息。對一個端口不可達消息，幾乎所有實現(xiàn)只送回IP請
求頭外加8 字節(jié)。然而，Solaris 送回的稍多，而Linux 更多。
這使得nmap甚至在沒有對方?jīng)]有監(jiān)聽端口的情況下認出Linux
和Solaris 主機。

ICMP 錯誤消息回應(yīng)完整性 -- 我這個想法來自Theo De Raadt （OpenBSD
開發(fā)負責人）貼在comp.security.unix的文章。剛剛提到，機
器會把原始消息的一部分和端口不可達錯誤一起送回。然而一
些機器傾向于在初始化處理時用你的消息頭作為“草稿紙”所
以再得到時會有些許的改動。例如，AIX 和BSDI送回一個IP“
全長”域在20字節(jié)處。一些 BSDI，F(xiàn)reeBSD，OpenBSD，ULTRIX，
和VAXen 改變了你送的IP ID 。因為TTL 改變而改變了檢查和，
有些機器（AIX, FreeBSD, 等）送回錯誤的或0 檢查和。總之，
nmap作9 種測試在ICMP錯誤上以分辨出這類細微差別。

服務(wù)類型 -- 對于ICMP端口不可達消息我察看送回包的服務(wù)類型(TOS)
值。幾乎所有實現(xiàn)在這個ICMP錯誤里用0 除了Linux 用0xc0。
這不是標準的TOS 值，而是一個未使用優(yōu)先域(AFAIK) 的一部
分。我不知道為什么如此，但如果他們改成0 我們還能夠分辨
舊系統(tǒng)_而且_還能分辨出舊系統(tǒng)和新系統(tǒng)。

分段控制 -- 這是安全網(wǎng)絡(luò)公司（現(xiàn)在由一幫在NAI 的Windows 用戶
所擁有）的Thomas H. Ptacek喜愛的技術(shù)。它獲益于事實即不
同實現(xiàn)經(jīng)常以不同方式控制覆蓋IP段。一些會用新的覆蓋舊的
部分，另一些情況中舊的優(yōu)先。有很多不同可能你可以用來決
定如何重組數(shù)據(jù)包。我沒有加入這一特性因為沒有簡便的方式
發(fā)送IP分段（特別是，在Solaris 上是不允許的）。關(guān)于覆蓋
段的更多信息，可以看IDS 的論文(www.secnet.com)

TCP 選項 -- 這簡直是泄漏信息的金礦。它的好處在于：
1) 這通常是可選的(哈!):) 所以并非所有實現(xiàn)都支持。
2) 若一個實現(xiàn)發(fā)出設(shè)置了選項的請求，目標通過設(shè)置它在回
應(yīng)中表示支持。
3) 可以在一個數(shù)據(jù)包中設(shè)置而一次測試所有選項。

Nmap發(fā)送這些選項的幾乎所有可能的包：

Window Scale=10; NOP; Max Segment Size = 265; Timestamp; End of Ops;

當你得到回應(yīng)，看看那個選項被送回也就是被支持。一些操作
系統(tǒng)如最近的FreeBSD 機器支持上面所有的，而其他，如Linux 2.0.X
支持的則很少。最近的Linux 2.1.x 內(nèi)核支持上面所有的。另
一方面，它們又有更易受攻擊的TCP 序列生成方式。去看看。

即使幾個操作系統(tǒng)支持同樣的選項集，有時仍可以通過選項的
_值_分辨出它們。例如，如果送一個小的MSS值給Linux機器，
它會用那個MSS 生成一個回答給你。其他主機會給你不同的值。

甚至即使你得到同樣的支持選項集和同樣得值，你仍可以通過
選項提供的_順序_和填充字進行辨識，例如Solaris返回'NNTNWME'
表示：

而Linux 2.2.122返回MENNTNW。同樣的選項，同樣的值，但不
同順序！

沒見過其他OS檢測工具利用TCP 選項，但它非常有用。

因同樣原因有其他幾個有用的選項我會探測，象那些支持T/TCP
和選擇性確認。

開發(fā)年代 -- 甚至使用上面所有測試，nmap仍不能從TCP 棧區(qū)分Win95，
WinNT，或Win98。這很令人驚訝，尤其是Win98 比Win95 晚出
現(xiàn)4 年。你可能想它們不得不從某些方面進行改善（象支持更
多的TCP 選項）這樣我們可以檢測到改變而分辨出它們。不幸
的是，不是這樣的。NT的棧顯然就是放在95里的蹩腳的東西。
而且到98也沒加改動。

但別放棄希望，還有個辦法。你可以簡單的進行早期的Windows
DOS 攻擊（Ping of Death, Winnuke, 等）而比當時的如Teardrop
和Land多做一些。就是在每個攻擊之后，ping它們看是否垮
掉了。等到你最后crash 掉它們，你就能縮小的某一服務(wù)包
或補丁。

這個沒加進nmap,盡管我承認它非常誘人:)。

SYN洪水限度 -- 一些操作系統(tǒng)會停止新的連接嘗試如果你送太多的
偽造SYN 給它（偽造包避免你的內(nèi)核復位連接）。許多操作系
統(tǒng)只能處理8 個包。最近的Linux 內(nèi)核（包括其他操作系統(tǒng)）
允許不同的方式如SYN cookie來防止這成為嚴重問題。所以你
可以試著從偽造地址發(fā)8 個包到目標打開的端口再嘗試你還能
否建立連接以發(fā)現(xiàn)一些信息。這沒在nmap中實現(xiàn)因為有人不喜
歡你用SYN 洪水，甚至你解釋這只是想知道它運行的操作系統(tǒng)
也不能使他們平靜。

NMAP實現(xiàn)和結(jié)果

我已經(jīng)作了一個上面說的OS探測技術(shù)的參考實現(xiàn)（除了我說不包括的）。
我把它們加到了我的Nmap掃描器這樣在分析指紋時它已經(jīng)知道了什么
端口是打開還是關(guān)閉的而不用你再告訴。它也能在Linux，*BSD， 和
Solaris 2.51和2.6， 以及其他一些操作系統(tǒng)間移植。

新版的nmap讀一個指紋模板文件。下面是語法的例子：

FingerPrint IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
TSeq(Class=i800)
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

看第一行（我加了'>'標記）：

> FingerPrint IRIX 6.2 - 6.3 # Thanks to Lamont Granquist

這簡單表明這個指紋覆蓋IRIX版本6.2到6.3而注釋表明Lamont Granquist
友好地送給我測試用IRIX機器的IP地址或指紋。

> TSeq(Class=i800)

這表明ISN 取樣放在"i800組"。這意味著每一個新序列號比前一個大
800的整數(shù)倍。

> T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)

這個測試叫T1（比test1 聰明吧？）。這個測試我們送一個SYN 包帶
一組TCP 選項到一個打開的端口。DF=N意為回答的"Don't fragment"
位必須沒有設(shè)置。W=C000|EF2A意為收到的窗口特征必須是0xC000 或
EF2A。ACK=S++是說響應(yīng)必須是我們送的序列號加1 。Flags=AS 意為
ACK 和SYN 標記在回答中。Ops=MNWNNT意為回答的選項必須如此順序：

> T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)

測試2 包括一個NULL及同樣選項到一個打開的端口。Resp=Y表示我們
必須得到一個回答。Ops=表示必須沒有任何選項包括在回答中。若整
個用'%Ops='則任何選項都匹配。

> T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M)

測試3 是一個SYN|FIN|URG|PSH w/options 到一個打開端口。

> T4(DF=N%W=0%ACK=O%Flags=R%Ops=)

這是一個到打開端口的ACK。注意這兒沒有Resp=。這意味著缺少回答
（比如包在網(wǎng)絡(luò)上掉了或被防火墻攔住了）不會妨礙其他測試的匹配。
我們?nèi)绱耸且驗閷嶋H上所有的OS都會回答，所以缺少回答總是網(wǎng)絡(luò)原
因而不是OS本身造成。測試2和3里有Resp標記因為有OS_確實_丟棄它
們而不回答。

> T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
> T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
> T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)

這些測試是SYN，ACK，和FIN|PSH|URG， 分別地，到一個關(guān)閉端口。
總是設(shè)置同樣的選項。當然這顯然給了名字'T5', 'T6', 和 'T7' :)。

> PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

這大家伙是端口不可達消息測試。現(xiàn)在你應(yīng)該認識DF=N了。TOS=0 意
為IP服務(wù)域類型是0 。下兩個域給出（16進制）返回的消息頭IP全長
域和IP頭中給的全長。RID=E 是說在返回的部分原始包中的RID 值應(yīng)
和原來的一樣（就如我們送出的）。RIPCK=E 表示沒有修改檢查和（
改了的話用RIPCK=F）。UCK=E表示UDP 檢查和也正確。下面的是UDP
長度0x134 和DAT=E 表示它們正確返回我們的UDP 數(shù)據(jù)。因為大多數(shù)
實現(xiàn)（包括這個）不送回任何我們的UDP 數(shù)據(jù)包，它們默認DAT=E。

帶這個功能的這個版本的nmap正在私下進行第六次beta測試循環(huán)。你
讀到的時候，也許已經(jīng)完成，也許沒有。訪問http://www.insecure.org/nmap/
以得到最新版本。

流行網(wǎng)站快照

下面是我們努力的成果。我們現(xiàn)在可以隨機挑選Internet網(wǎng)站判斷它
使用的OS。它們許多修改了telnet標志，等。以使這些信息保密。但
這對我們的新指紋沒用！這也是好辦法揭露<填上你喜歡的傻OS>的用
戶是多么的愚蠢。:)

用在這些例子中的命令是：nmap -sS -p 80 -O -v <主機>

也要注意大多數(shù)掃描是在98-10-18進行的。那以后一些家伙會升級/
改變了它們的服務(wù)器。

注意我并不喜歡這的每個網(wǎng)站。

# "黑客" 網(wǎng)站或(兩方都是)自認為是的
www.l0pht.com => OpenBSD 2.2 - 2.4
www.insecure.org => Linux 2.0.31-34
www.rhino9.ml.org => Windows 95/NT # 沒的說 :)
www.technotronic.com => Linux 2.0.31-34
www.nmrc.org => FreeBSD 2.2.6 - 3.0
www.cultdeadcow.com => OpenBSD 2.2 - 2.4
www.kevinmitnick.com => Linux 2.0.31-34 # Free Kevin!
www.2600.com => FreeBSD 2.2.6 - 3.0 Beta
www.antionline.com => FreeBSD 2.2.6 - 3.0 Beta
www.rootshell.com => Linux 2.0.35 # 改成了 OpenBSD 在他們得到以后

# 安全提供商，顧問，等
www.repsec.com => Linux 2.0.35
www.iss.net => Linux 2.0.31-34
www.checkpoint.com => Solaris 2.5 - 2.51
www.infowar.com => Win95/NT

# OS制造商
www.li.org => Linux 2.0.35 # Linux 國際版
www.redhat.com => Linux 2.0.31-34 # 我奇怪它們發(fā)行什么 :)
www.debian.org => Linux 2.0.35
www.linux.org => Linux 2.1.122 - 2.1.126
www.sgi.com => IRIX 6.2 - 6.4
www.netbsd.org => NetBSD 1.3X
www.openbsd.org => Solaris 2.6 # 啊嗨 :)
www.freebsd.org => FreeBSD 2.2.6-3.0 Beta

# 學聯(lián)
www.harvard.edu => Solaris 2.6
www.yale.edu => Solaris 2.5 - 2.51
www.caltech.edu => SunOS 4.1.2-4.1.4 # Hello! 這是90年代的 :)
www.stanford.edu => Solaris 2.6
www.mit.edu => Solaris 2.5 - 2.51 # 這么多好學校喜歡SUN?
# 大概是給.edu打40%的折扣 :)
www.berkeley.edu => UNIX OSF1 V 4.0,4.0B,4.0D
www.oxford.edu => Linux 2.0.33-34 # 好家伙!

# 殘疾網(wǎng)站
www.aol.com => IRIX 6.2 - 6.4 # 不奇怪它們那么不安全 :)
www.happyhacker.org => OpenBSD 2.2-2.4 # 病態(tài)的, Carolyn?
# 甚至最安全的OS在不合格的管理員手里也沒用

# 其他
www.lwn.net => Linux 2.0.31-34 # 這是Linux新聞網(wǎng)站!
www.slashdot.org => Linux 2.1.122 - 2.1.126
www.whitehouse.gov => IRIX 5.3
sunsite.unc.edu => Solaris 2.6

注意：在它們的安全白皮書中，Microsoft 說到它們松懈的安全：“
這種假設(shè)已經(jīng)改變在這些年中Windows NT獲得普及很大程度上是由于
其安全特性”。喔，從我這里看Windows 在安全團體中不是很普遍:)。
從中我只看到2 臺Windows 機器，而且對nmap來說Windows 是_ 容易_
分辨的它太破了（一流的聰明）

當然，有更多需要檢查的。這是ultra-secret Transmeta公司的網(wǎng)站。
有趣的是該公司主要由微軟的Paul Allen建立，而非其雇員Linus Torvalds。
那么它們是和Paul用NT或者投身到Linux革命中去呢？我們看看：

我們用命令：
nmap -sS -F -o transmeta.log -v -O www.transmeta.com/24

這個說SYN 掃描一致端口(從/etc/services)，記錄結(jié)果到'transmeta.log'，
詳細地，進行OS掃描，并掃描www.transmeta.com所在的'C'地址。這
是結(jié)果摘要：熱點網(wǎng)絡(luò)

neon-best.transmeta.com (206.184.214.10) => Linux 2.0.33-34
www.transmeta.com (206.184.214.11) => Linux 2.0.30
neosilicon.transmeta.com (206.184.214.14) => Linux 2.0.33-34
ssl.transmeta.com (206.184.214.15) => Linux unknown version
linux.kernel.org (206.184.214.34) => Linux 2.0.35
www.linuxbase.org (206.184.214.35) => Linux 2.0.35 可能和上面的是同一臺機器