ICMP timestamp 在Nmap中是用-PP选项
# nmap -PP 192.168.1.1
这个扫描会发送2000以上的包,但最开始的还是一个timestamp
若只想发送一个icmp timestamp包 可以
# hping3 192.168.1.1 -c 1 -C 13 -I wlan0
-c 1 表示发送一个包,
-I 指定网卡
-C 13 表示指定icmp type 13,也就是time stamp
通过wireshark捕捉的包会发现发送的包IP层上面就是ICMP,而没有TCP层,
这就说明了ICMP功能是被嵌入TCP/IP stack 中,而并不依靠某个特别的程序
所以说icmp timestamp scan 为的是明确某一台机器是否在线,
而不是某个特定的端口是否被打开
但是icmp timestamp 包在一般的网络上很难见到,
所以这样的包一般会被防火墙过滤掉,
icmp timestamp 被设计用来同步两台机器的时间,
但是更多的时间同步是通过NTP协议来完成
上面的hping3例子中的输出
ICMP timestamp: Originate=17858590 Receive=17859599 Transmit=17859599
单位是millisecond = 1/1000 秒
这个是换算成小时大约有 5:00 AM左右
也就是UTC的晚上12点开始所经过的时间
[ 本帖最后由 madfrogme 于 2013-1-23 14:35 编辑 ]