28Aug

Hacker Geek: Αποτύπωση δακτυλικών αποτυπωμάτων OS με τα μεγέθη παραθύρων TTL και TCP

Γνωρίζατε ότι μπορείτε να μάθετε ποιο λειτουργικό σύστημα λειτουργεί μια δικτυωμένη συσκευή, εξετάζοντας τον τρόπο με τον οποίο επικοινωνεί στο δίκτυο;Ας ρίξουμε μια ματιά στο πώς μπορούμε να ανακαλύψουμε ποιο λειτουργικό σύστημα λειτουργούν οι συσκευές μας.

Γιατί θα το κάνατε αυτό;

Ο καθορισμός του λειτουργικού συστήματος που εκτελείται σε μια μηχανή ή συσκευή μπορεί να είναι χρήσιμο για πολλούς λόγους.Κατ 'αρχάς αφήστε να ρίξετε μια ματιά σε μια καθημερινή προοπτική, φανταστείτε ότι θέλετε να μεταβείτε σε ένα νέο ISP που προσφέρει uncapped internet για $ 50 το μήνα, ώστε να κάνετε δοκιμή της υπηρεσίας τους.Με τη χρήση του δακτυλικού αποτυπώματος του OS θα ανακαλύψετε σύντομα ότι έχουν δρομολογητές σκουπιδιών και προσφέρουν μια υπηρεσία PPPoE που προσφέρεται σε μια δέσμη των Windows Server 2003 μηχανών.Δεν ακούγεται πλέον μια τέτοια καλή, ε;

Μια άλλη χρήση για αυτό, αν και όχι τόσο ηθική, είναι το γεγονός ότι οι τρύπες ασφαλείας είναι ειδικές για το λειτουργικό σύστημα.Για παράδειγμα, κάνετε μια σάρωση θύρας και εντοπίσετε τη θύρα 53 ανοιχτή και το μηχάνημα τρέχει μια ξεπερασμένη και ευάλωτη έκδοση του Bind, έχετε μια SINGLE ευκαιρία να εκμεταλλευτείτε την τρύπα ασφαλείας, αφού μια αποτυχημένη απόπειρα θα έπληττε τον δαίμονα.

Πώς λειτουργούν τα δακτυλικά αποτυπώματα του OS;

Όταν κάνετε παθητική ανάλυση της τρέχουσας επισκεψιμότητας ή ακόμα και κοιτάζοντας παλιές συλλήψεις πακέτων, ένας από τους ευκολότερους, αποτελεσματικούς, τρόπους για την αποτύπωση δακτυλικών αποτυπωμάτων OS είναι η απλή εξέταση του μεγέθους του παραθύρου TCP και του Time To Live( TTL)πρώτο πακέτο σε μια περίοδο TCP.

Ακολουθούν οι τιμές για τα πιο δημοφιλή λειτουργικά συστήματα:

Λειτουργικό σύστημα 255 4128

255 4128

255 4128

255 4128

255 4128

255 4128

255 4128

255 4128

12.4( Routers Cisco)

255 4128

Ο κύριος λόγος για τον οποίο τα λειτουργικά συστήματα έχουν διαφορετικές τιμές οφείλεται στο γεγονός ότι τα RFC για TCP / IP δεν ορίζουν τις προεπιλεγμένες τιμές.Ένα άλλο σημαντικό πράγμα που πρέπει να θυμάστε είναι ότι η τιμή TTL δεν θα ταιριάζει πάντα με έναν στον πίνακα, ακόμα και αν η συσκευή σας εκτελεί ένα από τα αναφερόμενα λειτουργικά συστήματα, βλέπετε όταν στέλνετε ένα πακέτο IP στο δίκτυο, το λειτουργικό σύστημα της συσκευής αποστολήςθέτει το TTL στο προεπιλεγμένο TTL για το συγκεκριμένο λειτουργικό σύστημα, αλλά καθώς το πακέτο διασχίζει τους δρομολογητές, το TTL μειώνεται κατά 1. Συνεπώς, αν δείτε TTL 117, αυτό μπορεί να αναμένεται να είναι ένα πακέτο που στάλθηκε με TTL 128 καιέχει διασχίσει 11 δρομολογητές προτού καταγραφεί.

Η χρήση του tshark.exe είναι ο ευκολότερος τρόπος για να δείτε τις τιμές, οπότε μόλις λάβετε μια δέσμευση πακέτων, βεβαιωθείτε ότι έχετε εγκαταστήσει το Wireshark και, στη συνέχεια, πλοηγηθείτε σε:

C: \ Program Files \

Τώρα κρατήστε πατημένο το πλήκτρο αλλαγής και κάντε δεξί κλικστον φάκελο wireshark και επιλέξτε ανοιχτό παράθυρο εντολών εδώ από το μενού περιβάλλοντος

Τώρα πληκτρολογήστε:

tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T πεδία -e ip.src -e ip.ttl -e tcp.window_size

Βεβαιωθείτε ότι έχετε αντικαταστήσει το "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" με την απόλυτη πορεία προς τη δέσμευσή σας.Μόλις πληκτρολογήσετε enter θα εμφανιστούν όλα τα πακέτα SYN από τη σύλληψή σας μια ευκολότερη να διαβάσετε μορφή πίνακα

Τώρα αυτή είναι μια τυχαία σύλληψη πακέτων που έκανα από εμένα συνδεόμενο με τον ιστοχώρο How-To Geek, μεταξύ όλων των άλλων chatter Windows κάνειΜπορώ να σας πω δύο πράγματα σίγουρα:

  • Το τοπικό μου δίκτυο είναι 192.168.0.0/24
  • Είμαι σε ένα κουτί των Windows 7

Αν κοιτάξετε την πρώτη γραμμή του πίνακα θα δείτε ότι δεν είμαι ψέματα, η διεύθυνση IP μου είναι192.168.0.84 το TTL μου είναι 128 και το TCP Window Μέγεθος μου είναι 8192, το οποίο ταιριάζει με τις τιμές για τα Windows 7.

Το επόμενο πράγμα που βλέπω είναι μια διεύθυνση 74.125.233.24 με TTL 44 και TCP Window Size 5720,αν κοιτάξω το τραπέζι μου δεν υπάρχει λειτουργικό σύστημα με TTL 44, ωστόσο λέει ότι το Linux που τρέχουν οι διακομιστές της Google έχει ένα TCP Παράθυρο Μέγεθος 5720. Αφού κάνετε μια γρήγορη αναζήτηση στο Web της διεύθυνσης IP, θα δείτε ότι είναιστην πραγματικότητα ένας διακομιστής Google.

Τι άλλο χρησιμοποιείτε για tshark.exe για, πείτε μας στα σχόλια.