20201030 -
本篇论文[1]是在了解设备指纹的时候看到的,一开始没仔细看,这两天正好集中整理一下;但是这篇文章说实话,不敢苟同,我仔细读了读就感觉有很大问题,看不到具体的干货,文章地址是[1]。看了一下他这里的一个同行评议,无话可说。
我在阅读的时候,也感觉不流畅,最起码算法不清楚,数据的采集过程不清楚。
当然这篇文章不是来批判这个论文的,而是记录一下相关工作,这部分对不对的,倒是可以再去看。(唉,读这个相关工作的时候都觉得不通顺。。)
nmap
首次采用主动探测方式向目标的存活端口发送12个TCP、1个UDP包和2个ICMP包,根据包头字段的差异性构造设备操作系统指纹。Xprobe
利用不同探测包获取到的信息的差异选取探测包,并优化重新发送序列,使得少量的探测包来识别操作系统,但识别精度有所下降。P0f
采用被动方式在网络边界侦听TCP/IP报文,分析网络中存在的主机及其操作系统类型,其识别精度和速度依赖于设别的发包状况。SinFP
结合主动探测和被动侦听方式,仅采用少量正常的TCP报文进行探测,并结合被动侦听到的报文识别操作系统。
这几个工具及论文需要后续好好看一下,这里挖个坑。