NetworkMiner识别原理_network miner

LAN中5台机器，1，146,149是win，254是kali，136是centos
扫描识别出的结果分别是

Linux的没有识别出来，即centos,kali没识别出来

展开146的结果，可以看到networkminer其实是用的p0f,Satori的指纹数据库来检测，猜测目标操作系统并给出概率

原来应该就是发/收几个数据包，然后将捕获的数据包交给p0f,Satori检测

在软件安装目录下的Captures文件夹下看到了捕获的数据包

打开看看

在networkminer安装目录下的fingerprint文件夹下也有p0f等指纹库

dhcp.xml是通过dhcp 来判断的

Etter.finger.os是ettercap是被动指纹库，从注释中可以看到也是基于tcp/ip协议栈的实现不同来进行判断的，下图的下方是部分示例

Oui.txt是用于判断设备制造厂商的

P0f.fp是分析syn 指纹

P0fa.fp是分析syn ack的指纹

P0f已经做过了，后面做Satori等。
关于NetworkMiner就分析到这个程度。