[ Predrag Damnjanovic @ 02.11.2002. 18:52 ] @
Skenirao sam jedan host nmap-om (cvs verzija, dakle 'very fresh'), i dobio sledece:
# nmap -sS -PT -PI -I -R -O -vv -T 3 ecommerce10.crypto.it
Code:

[...]
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
For OSScan assuming that port 80 is open and port 37512 is closed and neither are firewalled
[...]
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
OS Fingerprint:
TSeq(Class=RI%gcd=1%SI=41191A%IPID=Z%TS=100HZ)
T1(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=16A0%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=N)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Uptime 20.210 days (since Sun Oct 13 13:45:51 2002)
TCP Sequence Prediction: Class=random positive increments
                         Difficulty=4266266 (Good luck!)
TCP ISN Seq. Numbers: BD4153E1 BD76F145 BCBC58D6 BC9BC7CB BD54D4FE BCC723A6
IPID Sequence Generation: All zeros


Prvo sto me buni je to sto je nmap pretpostavio (ne znam na osnovu cega, verovatno na osnovu fingerprint-a) da je u pitanju Linux, i to kernel verzija 2.4.0 - 2.5.20.
Server ima dva otvorena porta (http i https) i ja sam poprilicno siguran da je web server IIS 5.0, sto znaci da nikako ne moze da bude Linux!
Kome sad da verujem, sebi (i Netcraftu) ili nmap-u?
Koliko nmap-u mogu da verujem (narocito sto je napisao OS detection will be MUCH less reliable) ?

Drugo sto mi nije jasno je fingerprint.
Sta je fingerprint, neki daemon, ili 'otisak' tcp paketa ?
Moze neki link (ili kratak info) o njemu?

Sta je to 'TCP Sequence Prediction'?
Difficulty=4266266 (Good luck!) - sta znaci ovaj broj i zasto mi zeli srecu ? :)

OK, priznajem da sam lamer po pitanju networkinga - zato bih vas molio da me ne ismejavate.
Znam da ovo ima veze sa TCP headerom, i pretpostavljam da ona brojka ima neke veze sa 'laziranjem' source adrese ?
Samo nemojte da mi kazete 'kupi knjigu o TCP/IP-u i kreni od prve strane' - jer cu to i da uradim (i bez vaseg reply-a).
Postavio sam konkretno pitanje - sta je TCP sekvenca?

I na kraju, ono sto me najvise buni - kako uspeva da vidi koliki je 'uptime' serveru?
Nije valjda da taj podatak cita iz zaglavlja TCP paketa?
[ B o j a n @ 03.11.2002. 11:24 ] @
Ima!
Sam autor nmap alata. l;)

http://www.insecure.org/nmap/nmap-fingerprinting-article.html
[ stinger @ 03.11.2002. 11:37 ] @
server koji vrti web je IIS 5.0 to se vrlo jednostavno vidi
[ Predrag Damnjanovic @ 03.11.2002. 12:39 ] @
To i ja jasno vidim.
Zato me buni ovaj tcp otisak...
Mada, ovi iz crypto.it su mi bas napomenuli da cesto stavljaju lazne banere.
Ali se ovaj web server bas i ponasa kao da je IIS.
Apache se onako ne ponasa.
Osim toga, instaliran mu je i JSP, sto opet nista ne znaci.

OK, shvatio sam sta znaci tcp fingerprint.

Sad mi samo nije jasno kako je uspeo da mu provali uptime?