28Aug

Hacker Geek: OS-i sõrmejälgi TTL-i ja TCP akna suurusega

Kas teadsite, et saate teada, millist operatsioonisüsteemi võrgustatud seade töötab, lihtsalt vaadates, kuidas see võrku suhtleb? Vaatame, kuidas me saame teada, milline operatsioonisüsteem meie seadmeid töötab.

Miks sa seda teed?

Määra kindlaks, milline OS masin või seade töötab, võib olla mitmel põhjusel kasulik. Esmalt saate vaadata igapäevast perspektiivi, kujutage ette, et soovite üle minna uuele Interneti-teenuse pakkujale, kes pakub internetipõhist internetti 50 eurot kuus, et saaksite oma teenust proovida. Operatsioonisüsteemide sõrmejälgede abil saate varsti teada, et neil on prügikontrollerid ja pakkuda PPPoE-teenust, mida pakutakse arvukatele Windows Server 2003 masinatele.Äkki ei tundu enam selline palju, ah?

Selleks, kuigi mitte nii eetiliseks, on veel üks kasutusvõimalus see, et turvaaugud on OS-i spetsiifilised. Näiteks teete porti, skannitakse ja avaneb port 53 ja masin töötab Bindi vananenud ja haavatavas versioonis, sul on JÄRELE võimalus turvaaugu ära kasutada, sest ebaõnnestunud katse peaks deemonit krahhima.

Kuidas operatsioonisüsteem Fingerprinting töötab?

Kui teed praeguse liikluse passiivset analüüsi või isegi vanade pakettide lüüside vaatamist, on üks hõlpsamate ja efektiivsemate operatsioonisüsteemide sõrmejälgede tegemise viise, vaadates otseselt TCP-i akna suurust ja "Time To Live"( TTL) IP-päisesesimene pakett TCP seanss.

Siin on populaarsemate operatsioonisüsteemide väärtused:

operatsioonisüsteem Aeg elada TCP akna suurus
Linux( kernel 2.4 ja 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Windows XP 128 65535
Windows Vista ja 7( Server 2008) 128 8192
iOS12.4( Cisco ruuterid) 255 4128

Peamine põhjus, miks operatsioonisüsteemidel on erinevad väärtused, tuleneb asjaolust, et TCP / IP RFC-id ei sätesta vaikimisi väärtusi. Teine oluline asi, mida meeles pidada, on see, et TTL-i väärtus ei vasta alati tabelis olevale ühele, isegi kui teie seade kasutab ühte loetletud operatsioonisüsteemidest, näete, kui saadate IP-paketi üle võrgu saatja seadme operatsioonisüsteemiseab TTL-i selle operatsioonisüsteemi vaikimisi TTL-i, kuid kui pakettaknad läbib marsruuterite, vähendab TTL-i 1-ga. Seega, kui näete TTL-numbrit 117, võib see olla pakett, mis saadeti TTL-iga 128-le jaon enne lüümist marssis 11 ruuterit.

Tshark.exe kasutamine on lihtsaim viis väärtuste nägemiseks, nii et kui olete paketivõtte saanud, veenduge, et olete installinud Wiresharki, seejärel navigeerige järgmiselt:

C: \ Program Files \

Nüüd hoia käiguvahetusnuppu ja paremklõpsakeWireshark kaustas ja valige kontekstimenüüst avatud käsureal

Nüüd type:

tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T väljad -e ip.src -e ip.ttl -e tcp.window_size

Kindlasti asendage "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" oma paketivõtmise absoluutse teega. Kui vajutad sisenemisele, kuvatakse kõik sinu pakitud SYN-paketid, mida saate hõlpsamini lugeda tabelivormingus

. Nüüd on see juhuslik pakettaknad, mida ma olen teinud, ühendades How-To Geeki veebisaidiga kõigi muude Windowsi kõnelejate vahelVõin teile kindlasti öelda kahte asja:

  • Minu kohalik võrk on 192.168.0.0/24
  • Olen Windows 7 kastis

Kui vaatate tabeli esimest rida, näete, et ma ei valeta, on minu IP-aadress192.168.0.84 minu TTL on 128 ja minu TCP akna suurus on 8192, mis vastab Windows 7 väärtustele.

Järgmine asi, mida ma näen, on aadress 74.125.233.24, mille TTL on 44 ja TCP akna suurus 5720,kui vaatan minu lauda, ​​puudub OS, millel on 44 TTL, kuid see ütleb, et Google'i serverite käitataval Linuxil on TCP akna suurus 5720. Pärast IP-aadressi kiire veebiotsingu tegemist näete, et see ontegelikult Google Server.

Mida sa veel kasutad tshark.exe, öelge meile kommentaarides.