28Aug

هاكر المهوس: أوس البصمات مع تل و تكب أحجام النافذة

هل تعلم أنه يمكنك معرفة نظام التشغيل الذي يقوم بتشغيله جهاز متصل بالشبكة فقط من خلال النظر في طريقة اتصاله بالشبكة؟دعونا نلقي نظرة على كيف يمكننا اكتشاف ما نظام التشغيل تعمل أجهزتنا.

لماذا ستفعل هذا؟

تحديد ما هو نظام التشغيل أو الجهاز قيد التشغيل يمكن أن يكون مفيدا لعدة أسباب.أولا يتيح إلقاء نظرة على المنظور اليومي، تخيل أنك تريد التحول إلى مزود خدمة الإنترنت الجديد الذي يقدم الإنترنت غير المختار لمدة 50 $ في الشهر حتى تتمكن من اتخاذ محاكمة من خدمتهم.باستخدام البصمات نظام التشغيل سوف تكتشف قريبا أن لديهم أجهزة التوجيه القمامة وتقديم خدمة بابو المقدمة على مجموعة من أجهزة ويندوز سيرفر 2003.لا يبدو مثل هذا صفقة جيدة بعد الآن، هاه؟

استخدام آخر لهذا، وإن لم يكن أخلاقي، هو حقيقة أن الثقوب الأمنية هي نظام التشغيل محددة.على سبيل المثال، يمكنك إجراء مسح المنفذ والبحث عن المنفذ 53 مفتوحة والجهاز يعمل على نسخة قديمة والضعيفة من بيند، لديك فرصة واحدة لاستغلال ثغرة أمنية منذ محاولة فاشلة سوف تحطم الخفي.

كيف يعمل نظام البصمات أوس؟

عند القيام بتحليل سلبي لحركة المرور الحالية أو حتى النظر إلى التقاطات القديمة، واحدة من أسهل وفعالة، وطرق القيام البصمات نظام التشغيل هو ببساطة عن طريق النظر في حجم نافذة تكب والوقت للعيش( تل) في رأس إب منأول حزمة في جلسة برنامج التعاون الفني.

فيما يلي قيم لأنظمة التشغيل الأكثر شعبية:

نظام التشغيل وقت البقاء تكب حجم النافذة
لينكس( النواة 2.4 و 2.6) 64 5840
غوغل لينوكس 64 5720
فري 64 65535
نظام التشغيل ويندوز زب 128 65535
نظام التشغيل ويندوز فيستا و 7( سيرفر 2008) 128 8192
نظام التشغيل يوس12.4( سيسكو روترز) 255 4128

السبب الرئيسي لأن أنظمة التشغيل لها قيم مختلفة ويرجع ذلك إلى حقيقة أن رك ل تكب / إب لا تنص على القيم الافتراضية.من المهم أن نتذكر أن قيمة تل لن تتطابق دائما مع واحد في الجدول، حتى لو كان جهازك يعمل أحد أنظمة التشغيل المدرجة، ترى عندما تقوم بإرسال حزمة إب عبر الشبكة نظام التشغيل جهاز الإرسالتعيين تل إلى تل الافتراضي لنظام التشغيل هذا، ولكن مع عبور الرزم يتم خفض تل بنسبة 1. لذلك، إذا رأيت تل من 117 يمكن أن يتوقع أن يكون هذا الحزمة التي تم إرسالها مع تل من 128 وقد اجتاز 11 الموجهات قبل القبض عليه.

باستخدام tshark.exe هو أسهل طريقة لرؤية القيم حتى مرة واحدة كنت قد حصلت على التقاط الحزمة، تأكد من أن يكون لديك ويريشارك تثبيت، ثم انتقل إلى:

C: \ بروغرام فيليز \

الآن الضغط على زر التحول وانقر بزر الماوس الأيمنعلى المجلد ويريشارك وحدد نافذة الأوامر المفتوحة هنا من قائمة السياق

اكتب الآن:

تشارك -r "C: \ وسرس \ تايلور جيب \ ديسكتوب \ blah.pcap" "tcp.flags.syn إق 1" -T الحقول -e ip.src -e ip.ttl -e tcp.window_size

تأكد من استبدال "C: \ المستخدمين \ تايلور جيب \ ديسكتوب \ blah.pcap" مع المسار المطلق لالتقاط الحزمة الخاصة بك.بمجرد الضغط على إنتر سوف تظهر لك جميع الحزم سين من القبض على أسهل لقراءة شكل الجدول

الآن هذا هو التقاط حزمة عشوائية أنا مصنوعة من لي الاتصال إلى المهوس كيفية الموقع، بين كل الثرثرة الأخرى ويندوز يفعلأستطيع أن أقول لكم أمرين على وجه اليقين:

  • الشبكة المحلية بلدي هو 192.168.0.0/24
  • أنا على مربع ويندوز 7

إذا نظرتم إلى السطر الأول من الجدول سترى أنا لست الكذب، عنوان إب الخاص بي هو192.168.0.84 بلدي تل هو 128 و تكب حجم نافذة 8192، الذي يطابق قيم ويندوز 7.

الشيء التالي أرى هو عنوان 74.125.233.24 مع تل من 44 و تكب النافذة حجم 5720،إذا كنت أنظر إلى جدول بلدي لا يوجد نظام التشغيل مع تل من 44، ومع ذلك فإنه يقول أن لينكس أن خوادم جوجل تشغيل لديها تكب نافذة الحجم 5720. بعد القيام بحث الويب السريع من عنوان إب سترى أنه هوفي الواقع خادم جوجل.

ماذا تستخدم tshark.exe ل، يقول لنا في التعليقات.