Kaiyang’s blog — 小阳子de十点二十 — has been transferred. The new page is www.wangkaiyang.com.cn/blog/. Welcome everyone.

Goodbye to msn live space… au revoir…

Click here to visit 小阳子de十点二十

www.wangkaiyang.com.cn/blog/

     最近大脑常常恍惚，不知道大家有没有过这样的感觉，就是能够清楚的感觉到大脑是和头骨是分开的。呵呵说的恐怖了些，我的意思是能实实在在地感觉到大脑的存在。这种感觉很……奇妙，也很怪，总之有点令我感到不舒服。

     上周五体验了把醉酒。最近不开心的事情很多，尽管表情上仍然给别人笑脸，却常常感到自己很迷茫。曾经包子说眩晕的感觉是很奇妙的，确实很奇妙，但它不按照你设计的方向转圈，这感觉太糟糕！打车回家时和司机师傅聊天，师傅说一点都没闻到酒气，我说没闻到就没闻到吧，麻烦您找个地方停下我吐会……真不错，师傅还给我买了瓶水！

     上周日，继上午篮球运动3小时、下午KFC和天一“现开”打万智之后，我于晚上19：15驾车前往霍营，第一次驱车去30km以外的目的地，却因许久没动过车了而感到相当地兴奋。按金人的话：“离合器不好使，低头一看是脚蹬子太高了”，爷感觉这车“离合器”太软啊~座子太硬~刹车太轻~轮胎亏气……哎哎~你干吗超我车？你掰左灯了吗？别以为骑辆28就了不起！敢超咱这2轮捷安特牌宝马？！

     话说这30km骑得相当happy，路上哼着歌，仿佛回到高中时代呵~路上有意思的事儿很多，除了我在四环上迷路以外还有一件：我在路上碰到两个后座上插着“支持北京奥运”旗子的骑车人，我试图超了他们一次，马上又被他们超过了。正当我心中愤愤不平准备再超过去的时候，我突然发现这两个人的右臂的袖子在随风飘荡……再仔细看了看后终于确认，他们右臂位置是空的……肃然起敬肃然起敬啊！踏踏实实跟在人家后面，这……不是残奥会选手吧？

     周一到周三持续加班，今天终于能提前解放。眼看到下班的点儿，我也就不在这聒噪了，既然下班了，工作上的烦心事就让他散了吧，嘿嘿笑下，回家！

     再说一句！我恨黑咖啡！！

     感触，转瞬即逝，记下的，永远记下；错过的，永久流逝–这一定是种悲哀。

     不习惯身边的改变，也不喜欢身边的改变。改变，在我看来是对自己之前做法的一种否定，也许新的方式确实要比以往美丽许多，但之前的，就不用珍惜么？

     但这世界毕竟是改变着的，就像时间会一秒一秒的走，太阳会升起或者隐去，大地会平静和颤抖，人也会一天天老去……有时真的觉得这会让人感到恐惧，生命上的，精神上的。

     既然这世界一定在变，为了跟随这世界的节奏，我也必然要变。需要变得更加“心安理得”一些，尽管看不透，也说不明白，但准备还是要做的。

     我，浅浅地懂了……

     二胖哥也结婚了哈，我很高兴～～记得小时候到山西都是我哥带着我到处玩，如今也算有家事的人了，呵呵^^

     嫂子很贤惠，很诚实（嘿嘿，问啥说啥，特诚实），就是一开始忘了给我改口费了。过门第一天就下厨给我们做饭了，这样的妻子－－恩恩，我哥还真有福气～

     不贴他们的婚纱照了（指穿婚纱的那种），贴张我从他们照片册翻出来感觉很不错的一张“青春”照吧～嘿～嫂子还真上镜！

     看看我哥～～嘿嘿嘿～终于找到眼睛比我小的了^^

     最近一直沉浸在欧洲杯的喜悦当中－－尽管这些球队都与我没有太多关系，但人家的球确实好看。如果非让我支持一两个球队的话，我选土耳其和西班牙，因为我高中的球衣是土耳其的11号，大学是西班牙的11号～

     不过此博并不是说欧洲杯的，而是为了练练手－－毕竟很久没留博了……玩笑了哈。今天加班，吃过晚饭后在工位上浏览欧洲杯的评论，浏着浏着就浏到了国足，顿时感到很憋屈……非常憋屈！我很不理解为什么一想到人家踢球就觉得是一种激情享受，一想到咱们国足就他母亲的想骂人？不过看了不少评论后，我突然不知道应该骂谁了……

     骂球员？恩，球员应该挨骂。别人再怎么说这球是不是你们踢的？没能赢下来是不是你们干的？这N场比赛前锋进了几个进球？你ZZ很大牌怎么没有一次神来之笔？说你中国球员体能没问题怎么跑到下半场15分钟就开始满场遛达？你说你们还能拿出什么给我们球迷？

     我知道你们也很努力，至少我们都能看到你们努力。不然不会有徐云龙的飞踹，不会有韩鹏的血染赛场，不会有大头的热泪两行……我确实理解你们，你们的压力大得让人无法想像，难怪每次开场激情20分钟过后就开始不堪重负，都是压力惹得祸呵～毕竟压力越大，体能消耗越大，动作就很变形，脑袋就很不清楚，球就找不到门框……倘若这么说，那球员的责任也不是很大了，换个鸟骂吧。

     骂教练？他奶奶的F拉多，确实垃圾比较多。我每次看到他都是一张“丧脸”，终日躲在杜Y的后边，怯怯地看着赛场，看着镜头，完全没有一点从容和果断。其实仔细想想F拉多不是那个最该被骂的教练，人家其实自己有东西，孙祥在最后一场球结束后说过：F拉多教了我们很多配合，我们在场上打出来的配合都是F拉多教的。可见F拉多并不是没尽心尽力～人们都说F拉多是杜Y的傀儡，这称呼不好听，也让人觉得不爽－－办好了那有人家一半的功劳，搞砸了那就是自己的不是。我觉得我们骂杜Y应该多于老F，恩，最阴险的就是杜Y！这家伙在中国最虚弱得时候趁虚而入，挣得不少，却毁了中国，他NND，我看他奥运会能有什么成绩。

     还是骂足协吧！中国足协没钱？真没钱假没钱咱是不知道，虽然有报道但咱也不了解真实情况不是，不好说是不是有人贪污了还是腐败了。不过瞧瞧中国请的“NB”人－－施拉普纳、霍顿、阿里汉、福拉多、杜伊……再加上朱广沪。米卢算个特例，他带来了运气。我就奇怪了，咱中国不是“不拘一格降人才”么？怎么足协选帅头一条就是教练要“听话”？听话和水平有什么必然联系么？其实我很看好克劳琛的，毕竟他把中国足球打出了样子。不就是对德国那场没听话让董方卓上么？干吗就死活不聘用人家？这样看来，特鲁西埃？希丁克？嘿嘿嘿，你想都别想！

     还是自己骂自己吧！咱是球迷，中国球迷，怎么现在说这4个字这么丢人呢？说实话咱也够践的，看一场输一场，生气骂骂咧咧，然后下场仍然扳个凳子做电视机前面，或者上网关注下战况……周而复始……有啥意思？唉……挺佩服那些去现场看球的同胞，即使是拿赠票去的，也别自己找气受啊～～

     所以说啊，中国足球要改，要从根上改。把足协格式化了重装一个，然后真的真的不拘一格降人才，给我们点盼头，别让我们这么憋屈！行不？

     看得郁闷了，贴这里，歇会再看……

CVE的产生背景

     随着最近一些年来在全球范围的黑客入侵不断猖獗，信息安全问题越来越严重。在对抗黑客入侵的安全技术中，实时入侵检测和漏洞扫描评估（IDnA——Intrusion Detection and Assessment）的技术和产品已经开始占据越来越重要的位置。
     目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”，换句话说就是基于知识库的技术。可见，决定一个IDnA技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。
     1999年2月8日的 InfoWorld在比较当时ISS的Internet Scanner5.6和NAI的CyberCop2.5时有一段描述，“由于没有针对这些扫描器平台的分类标准，直接比较他们的数据库非常困难。我们找到在Internet Scanner和CyberCop中同一个漏洞采用了不同的名称……”
     各个IDnA厂家在阐述自己产品的水平时，都会声称自己的扫描漏洞数最多，你说有1000种，我说有5000。我们的用户如何辨别？不同的厂家在入侵手法和漏洞这方面的知识库各有千秋，用户如何最大限度地获得所有安全信息？CVE就是在这样的环境下应运而生的。

什么是CVE?

     CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

CVE的特点：
- 为每个漏洞和暴露确定了唯一的名称
- 给每个漏洞和暴露一个标准化的描述
- 不是一个数据库，而是一个字典
- 任何完全迥异的漏洞库都可以用同一个语言表述
- 由于语言统一，可以使得安全事件报告更好地被理解，实现更好的协同工作
- 可以成为评价相应工具和数据库的基准
- 非常容易从互联网查询和下载，http://www.cve.mitre.org
- 通过“CVE编辑部”体现业界的认可

     CVE 开始建立是在1999年9月，起初只有321个条目。在2000年10月16日，CVE达到了一个重要的里程碑——超过1000个正式条目。截至目前（2000年12月30日），CVE已经达到了1077个条目，另外还有1047个候选条目（版本20001013）。目前已经有超过28个漏洞库和工具声明为CVE兼容。

CVE条目举例

     Land是一个非常著名的拒绝服务攻击的例子。该攻击的主要原理就是构造一个伪造源地址等于目的地址的IP数据包。当存在相应漏洞的主机收到这样的攻击包，会由于不断的自我响应造成系统资源的过渡消耗和崩溃。
在许多种漏洞数据库中都有相应的条目，但是说法各不相同，有Land, Teardrop_land, land.c, Impossible IP packet, Land Loopback Attack等等多种命名方法，用户无所适从。如下图：
如果有了CVE这个公共的命名标准，所有的漏洞库都会对应到CVE字典。如下图：

     在CVE字典中会出现一个共同认可的名称和描述：

什么是漏洞？什么是暴露？

     Vulnerability （漏洞，脆弱性）这个词汇可以有狭义和广义多种解释。比如说：finger服务，可能为入侵者提供很多有用的资料，但是该服务本身有时是业务必须的，而且不能说该服务本身有安全问题。1999年8月，CVE的编辑部投票表决通过，为了表达得更精确，给出了一个新的概念——Exposure（暴露）。
     在所有合理的安全策略中都被认为是有安全问题的称之为“漏洞”。漏洞可能导致攻击者以其他用户身份运行，突破访问限制，转攻另一个实体，或者导致拒绝服务攻击等。漏洞的例子，比如：

     对那些在一些安全策略中认为有问题，在另一些安全策略中可以被接受的情况，称之为“暴露”。暴露可能仅仅让攻击者获得一些边缘性的信息，隐藏一些行为；可能仅仅是为攻击者提供一些尝试攻击的可能性；可能仅仅是一些可以忍受的行为，只有在一些安全策略下才认为是严重问题。暴露的例子，比如：

什么叫CVE兼容

     “CVE兼容”意味着一个工具、网站、数据库或者其它安全产品使用CVE名称，并且允许与其它使用CVE命名方式的产品交叉引用。不同的工具提供不同的引用方式：

     目前宣布兼容CVE的厂家和机构有28个，这些都是在IDnA领域中大牌。下面是一些典型机构的兼容情况：

CVE的组织和机制

     CVE这个标准的管理组织和形成机制可以说是国际先进技术标准的代表。

CVE的编辑部组成

     CVE 的编辑部（Editorial Board）成员包括了各种各样的有关信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构还有一些卓越的安全专家。通过开放和合作式的讨论，编辑部决定哪些漏洞和暴露要包含进CVE，并且确定每个条目的公共名称和描述。一个独立的非盈利组织MITRE负责召集编辑部，协调讨论，在整个过程提供指导，保证CVE能够服务于公众的要求。编辑部会议和讨论的内容会保存在网站中。如果需要，还会邀请其他相关信息安全专家加入到编辑部的工作中。
在编辑部中，我们能够找到许多熟悉的名字：

- CERIAS美国普渡大学计算机系
- Kelly Cooper国际知名信息安全专家
- ISS这样的著名安全工具厂商，还有NFR, Axent, PGP, Symantic等等
- Cisco, IBM, Sun, 微软等
- 美国和加拿大的CERT
- NTBugtraq, Security Focus这样的安全门户
- Ernst & Young这样的著名咨询机构
- NIST这样的标准化和测试机构

     这样的编辑部可以说是一个超强的阵容，同时也决定了这个标准的权威地位。

CVE命名过程

     命名过程从发现一个潜在的安全漏洞和暴露开始；首先赋予一个CVE候选号码；接着，编辑部会讨论该候选条目能否成为一个CVE条目；如果候选条目被投票通过，该条目会加进CVE，并且公布在CVE网站上。所有的候选条目都可以在网站上查到，只不过CVE和候选条目是分开的。整个CVE的命名过程如下

CVE对我们的帮助和启示

用户选择产品

     用户和网络安全管理员可以通过采用“CVE兼容”的产品，或者要求你的安全产品厂商达到CVE兼容的水平，以保证企业级安全应用的需求。在选择相应的产品时候，用户完全可以用CVE作为评判工具的标准。
CVE：从CVE列表开始
CVE子表：根据具体情况，选择合适的CVE条目
评估：将那些CVE兼容的工具/数据库和
你前面选择的CVE子表进行直接比较

用户实施风险评估

     在风险评估中最重要也是最困难的两个环节就是风险的量化，以及找到风险项后如何寻找控制措施。CVE给了我们非常好的指导去进行风险评估中的技术评估。用户完全可以参考CVE字典和相应的数据库建立自己企业的风险评估指标体系，而且所有的这些风险项都可以通过CVE索引迅速地找到相应的修补控制措施。

厂商开发产品

     安全工具厂商和漏洞库管理者通过符合CVE标准，为客户提供CVE兼容的工具和数据库，以便达到更好的风险控制覆盖范围，实现更容易的协同工作能力，提高客户整个企业的安全能力。

如何制订有实效的信息安全标准

     CVE给了我们一个非常好的典范。
     CVE不是研究室闭门造车的产物，而是行业需求、客户需求驱动的产物，是众多权威机构和大厂商直接支持的共同规范。
     由于CVE实行这种开放式的研究和提交方式，投票表决式的决策机制，保证了CVE能够最大限度地容纳最先进、最新的安全内容，投票结果又可以反映技术界和业界的综合意向，各方面完全不需要为标准的执行担忧。
     CVE这种开放的标准制定机制，以及行业内厂商间的这种有序竞争和合作，才是我国信息安全企业和标准制定单位最需要借鉴的

另一种：
     CVE （Common Vulnerabilities & Exposures，通用漏洞披露）。 CVE 是国际著名的安全漏洞库，也是对目前已知漏洞和安全缺陷的标准化名称的列表，它是一个由企业界、政府界和学术界综合参与的国际性组织，采取一种非盈利的组织形式，其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。

     突然心里很躁，听着防火墙的声音觉得越来越烦，已然没有心情研究技术问题了。不如上来冒个泡，调节调节这不知道是高是低的温度。

     昨天是我23岁的生日，不过这可能是我过得最无聊的一个生日了吧，在公司加班到晚上10点，又赶上低烧……孤单感非常强烈，好在收到不少祝福的短信，老胡和大钊还请我共进了晚餐，让我感到至少还有些人记得自己。

     特别值得记下的是父亲在早上5点发来的祝福短信，很感动，因为周一离开家的时候刚刚和父母有些不快……真的很感动。

     周日打球的时候，天一评价过现在的生活：忙碌却单调。不由让我开始回忆之前的日子都是什么样子？一帮无聊的人干着无聊的事打法着看似无聊的时间，却怀着很多愿望和梦想，有些烦心的事情现在想想确实给生活多了很多乐趣。现在的忙碌却周而复始……幸运的是我仍和几个同伴住在一起，晚上回去的时候还可以开开玩笑，一起打打游戏……之前确实没觉得什么，当有一天自己一个人坐在屋里，独享着空间时间，却听不到除你之外的任何声音……这种滋味真的是不好受的。

     其实忙碌和单调并不一定是一对组合。关键看你忙碌的事情，你的目标，找一件你感兴趣的事情来忙而且最终有了收获，也就不觉得单调乏味了。

     我所作的工作常常让我觉得无味，却又时常让我觉得是种挑战。收获？呵呵，这个恐怕要差一点。

     长大一点要成长一点，我不知道我是不是多懂了些。这个生日我没有许下任何愿望。

     感谢我的父母、感谢二姨、帆、娜姐、旧近、熊、华、周周、小佳、芋头、天一、芸MM、茜MM、晴MM、张婧、李森、朱音、小凡、鸡毛、帮主、老胡、大钊、开心·水水……以及所有想起我的人们，谢谢！

     我，23岁了

Know Your Enemy:
Passive Fingerprinting
Identifying remote hosts, without them knowing

Honeynet Project
http://project.honeynet.org
Last Modified: 04 March, 2002

One of the challenges of network security is learning about the bad guys. To understand your threats and better protect against them, you have to Know Your Enemy. Passive Fingerprinting is a method to learn more about the enemy, without them knowing it. Specifically, you can determine the operating system and other characteristics of the remote host using nothing more then sniffer traces. Though not 100% accurate, you can get surprisingly good results. The subterrain crew has developed siphon, a passive network and system mapping and OS fingerprinting tool. Also, Michael Zalewski (Poland’s finest) and Bill Stearns are maintaining p0f. Both of these tools demonstrate the functionality we are about to discuss.

Fingerprinting
Traditionally, Operating System fingerprinting has been done using active tools, such as queso or nmap. These tools operate on the principle that every operating system’s IP stack has its own idiosyncrasies. Specifically, each operating system responds differently to a variety of malformed packets. All one has to do is build a database on how different operating systems respond to different packets. Then, to determine the operating system of a remote host, send it a variety of malformed packets, determine how it responds, then compare these responses to a database. Fyodor’s nmap is tool of choice when using this methodology. He has also written a detailed paper on this.

Passive fingerprinting follows the same concept, but is implemented differently. Passive fingerprinting is based on sniffer traces from the remote system. Instead of actively querying the remote system, all you need to do is capture packets sent from the remote system. Based on the sniffer traces of these packets, you can determine the operating system of the remote host. Just like in active fingerprinting, passive fingerprinting is based on the principle that every operating system’s IP stack has its own idiosyncrasies. By analyzing sniffer traces and identifying these differences, you may be able determine the operating system of the remote host.

The Signatures
There are four TCP areas that we will look at to determine the operating system (however there are other signatures that can be used). These signatures are:

• TTL – What the operating system sets the Time To Live on the outbound packet
• Window Size – What the operating system sets the Window Size at.
• DF – Does the operating system set the Don’t Fragment bit.
• TOS – Does the operating system set the Type of Service, and if so, at what.

By analyzing these factors of a packet, you may be able to determine the remote operating system. This system is not 100% accurate, and works better for some operating systems then others. No single signature can reliably determine the remote operating system. However, by looking at several signatures and combining the information, you increase the accuracy of identifying the remote host. An example would be the easiest way to explain. Below is the sniffer trace of a system sending a packet. This system launched a mountd exploit against us, so we want to learn more about it. We do not want to finger or nmap the box, that could give us away. Rather, we want to study the information passively. This signature was captured using snort, our passive weapon of choice.

04/20-21:41:48.129662 129.142.224.3:659 -> 172.16.1.107:604
TCP TTL:45 TOS:0×0 ID:56257
***F**A* Seq: 0x9DD90553
Ack: 0xE3C65D7 Win: 0x7D78

Based on our 4 criteria, we identify the following:

• TTL: 45
• Window Size: 0x7D78 (or 32120 in decimal)
• DF: The Don’t Fragment bit is set
• TOS: 0×0

We then compare this information to a database of signatures. First, we look at the TTL used by the remote host. From our sniffer trace above, you can see the TTL is set at 45. This most likely means it went through 19 hops to get to us, so the original TTL was set at 64. Based on this TTL, it appears this packet was sent from a Linux or FreeBSD box, (however, more system signatures need to be added to the database). This TTL is confirmed by doing a traceroute to the remote host. If you are concerend about the remote host detecting your traceroute, you can set your traceroute time-to-live (default 30 hops), to be one or two hops less then the remote host (-m option). For example, in this case we would do a traceroute to the remote host, but using only 18 hops (traceroute -m 18). This gives you the path information (including their upstream provider) without actually touching the remote host. For more information on TTLs, check out this Research Paper on Default TTL values.

The next step is too compare the Window size. We have found the Window Size to be another effective tool, specifically what Window Size is used and how often the size changes. In the above signature, we see it set at 0x7D78, a default Window Size commonly used by Linux. Also, Linux, FreeBSD, and Solaris tend to maintain the same Window Size throughout a session (as this one did). However, Cisco routers (at least my 2514) and Microsoft Windows/NT Window Sizes are constantly changing. We have found that Window Size is more accurate if measured after the initial three-way handshake (due to TCP slow start). For more information on Window Size, see Stevens, "TCP/IP Illustrated, Volume 1" Chapter 20.

Most systems use the DF bit set, so this is of limited value. However, this does make it easier to identify the few systems that do not use the DF flag (such as SCO or OpenBSD). After further testing, we feel that TOS is also of limited value. This seems to be more session based then operating system. In other words, its not so much the operating system that determines the TOS, but the protocol used. TOS defintely requires some more testing. So, based on the information above, specifcally TTL and Window size, you can compare the results to the database of signatures and with a degree of confidence determine the OS (in our case, Linux kernel 2.2.x).

Keep in mind, just as with Active Fingerprinting, Passive Fingerprinting has some limitations. First, applications that build their own packets (such as nmap, hunt, nemesis, etc) will not use the same signatures as the operating system. Second, it is relatively simple for a remote host to adjust the TTL, Window Size, DF, or TOS setting on packets. For example, to change the default TTL value:

Solaris: ndd -set /dev/ip ip_def_ttl ‘number’
Linux: echo ‘number’ > /proc/sys/net/ipv4/ip_default_ttl
NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters

However, by combining a variety of different packets and signatures, in this case TTL and Window Size, you can reliably approximate the remote system.

Other Signatures and Uses
We are not limited to the four signatures discussed so far. There are other areas that can be tracked, such as initial sequence numbers, IP Identification numbers, TCP or IP options. For example, Cisco routers tend to start IP Identification numbers at 0, instead of randomly assigning them. For TCP Options, the option Selective Acknowledgement SackOK is commonly used by Windows and Linux, but not commonly used by FreeBSD or Solaris. With Maximum Segment Size (MSS), most operating systems use a MSS of 1460, however Novell commonly uses 1368, and some FreeBSD variants may use a MSS of 512. Also, ICMP packets can be used. Honeynet member Ofir Arkin has done extensive research in using ICMP for fingerprinting, publishing the paper ICMP Usage in Scanning. The ICMP signatures he discusses in this paper can be used for passively fingerprinting systems based on their ICMP signatures. For example, Microsoft ICMP REQUEST payloads contain the alphabet, while most Unix systems, such as Solaris or Linux, ICMP REQUEST payloads have number and symbols.

Passive fingerprinting can be used for several other purposes. It can be used by the bad guys as ‘stealthy’ fingerprinting. For example, to determine the Operating System of a ‘potential victim’, such as a webserver, one only needs to request a webpage from the server, then analyze the sniffer traces. This bypasses the need for using an active tool that can be detected by various IDS systems. Also, Passive Fingerprinting may be used to identify remote proxy firewalls. Since proxy firewalls rebuild connection for clients, it may be possible to ID the proxy firewalls based on the signatures we have discussed. Organizations can use Passive Fingerprinting to identify ‘rogue’ systems on their network. These would be systems that are not authorized on the network. For example, a Microsoft or Sun shop can quickly identify ‘rogue’ Linux or FreeBSD systems that mysteriously appeared on their network. Passive Fingerprinting can be used to quickly inventory an organizations operating systems without touching or imapcting any systems or network performance. You would be surprised how may organizations do not know what systems they have on their internal network. For individuals conducting security assessment, Passive Fingerprinting also allows one to quickly identify critical systems (such as Unisys Mainframe). This method can also be used to identify rogue or unautorized systetms or OS types within an organization, a possible indication of ‘blackhat’ activity.

The Project has developed a test database to demonstrate these concepts of passive fingerprinting. The database was built by testing a variety of systems with the Telnet, FTP, HTTP, and SSH protocol. This database is no longer being developed and is provided for demonstration purposes only. If you want to contribute to the development of passive fingerprinting, we recommend the actively maintained solutions we have discussed so far.

Conclusion
Passive fingerprinting gives you the ability to learn about the enemy, without them knowing it. Though no single piece of information can positively identify a operating system, by combining several signatures, you can make an approximation of the remote system. A big thanks to the following people for their help and ideas:

Craig Smith
Peter Grundl
Subterrain Siphon Project