doc/passiveOSfingerprinting.txt

   1 Info on what info to extract from packages :
   2
   3 display_signature(ttl,tot,orig_df,op,ocnt,mss,wss,wsc,tstamp,quirks);
   4
   5 ttl = time to live
   6 df = dont fragment flag(why org?)
   7 op = options
   8 ocnt = count ?
   9 mss = Maximum segment size
  10 wss = window size - a highly OS dependent setting
  11 wsc = Window scaling (WSCALE) - this feature is used to scale WSS. It extends the size of a TCP/IP window to 32 bits, of sorts. Some modern systems implement this feature.
  12
  13 tstamp = timestamp - uptime...
  14
  15
  16 quirks =
  17 Some buggy stacks set certain values that should be zeroed in a
  18 #   TCP packet to non-zero values.
  19 - Data past the headers. Neither SYN nor SYN+ACK packets are supposed
  20 #     to carry any payload.
  21 #   - Options past EOL. Some systems have some trailing data past EOL
  22 #     in the options section of TCP/IP headers. P0f does not examine this
  23 #     data as of today, simply detects its presence.
  24 much more
  25
  26