28Aug

Hacker Geek: OS Sormenjälkitunnistus TTL- ja TCP-ikkunakoilla

Tiesitkö, että voit selvittää, millä käyttöjärjestelmällä verkkolaite toimii vain katsomalla tapaa, jolla se kommunikoi verkossa? Katsotaanpa, kuinka voimme selvittää, millä käyttöjärjestelmällä laitteet ovat käynnissä.

Miksi teit tämän?

Millä käyttöjärjestelmällä kone tai laite on käynnissä voi olla hyötyä monista syistä.Ensinnäkin voit tarkastella jokapäiväistä perspektiiviä, kuvitella, että haluat siirtyä uuteen Internet-palveluntarjoajaan, joka tarjoaa avoimen verkon 50 dollaria kuukaudessa, jotta voit kokeilla palvelunne. Käyttämällä OS-sormenjälkitoimintoa huomaat pian, että niillä on roskia reitittimet ja tarjoavat PPPoE-palvelua, joka on tarjolla Windows Server 2003 -koneiden joukossa. Etkö enää kuulosta niin hyvältä, vai mitä?

Toinen käyttö tähän, vaikkakaan ei niin eettinen, on se, että tietoturva-aukot ovat OS-ominaisuuksia. Esimerkiksi teet porttiratkaisun ja portti 53 on auki ja koneessa on vanhentunut ja haavoittuva Bind-versio, sinulla on ONGELMA mahdollisuus käyttää tietoturva-aukkoa, koska epäonnistunut yritys epäonnistuu.

Miten OS-sormenjälkien tulostus toimii?

Kun teet passiivisen analyysin nykyisestä liikenteestä tai jopa katselemalla vanhoja pakettien kaappauksia, yksi helpoimmista, tehokkaimmista tapoista tehdä OS Sormenjälki on yksinkertaisesti tarkastelemalla TCP-ikkunan kokoa ja Time To Live( TTL) IP-otsikonensimmäinen paketti TCP-istunnossa.

Tässä ovat suosittujen käyttöjärjestelmien arvot:

Käyttöjärjestelmä Aikaa elää TCP-ikkuna-koko
Linux( kernel 2.4 ja 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Windows XP 128 65535
Windows Vista ja 7( Server 2008) 128 8192
iOS12.4( Ciscon reitittimet) 255 4128

Tärkein syy siihen, että käyttöjärjestelmillä on erilaiset arvot johtuu siitä, että RFC: n TCP / IP: lle ei määrätä oletusarvoja. Muista muista tärkeistä seikoista on se, että TTL-arvo ei aina vastaa yhtä taulukossa, vaikka laite olisi käynnissä jollakin luetelluista käyttöjärjestelmistä, näet, kun lähetät IP-paketin verkkoon lähettävän laitteen käyttöjärjestelmäänasettaa TTL: n kyseiselle käyttöjärjestelmälle oletusarvon mukaiseksi TTL: ksi, mutta kun paketti läpäisee reitittimet, TTL lasketaan 1: llä. Tästä syystä, jos näet TTL: n 117, tämän voidaan olettaa olevan paketti, joka lähetettiin TTL: llä 128 jaon kulkenut 11 reitittimeen ennen kaappaamista.

Tshark.exe-tiedoston käyttäminen on helpoin tapa nähdä arvot, niin kun olet saanut paketin kaappauksen, varmista, että sinulla on Wireshark asennettuna ja siirry seuraavaan kohtaan:

C: \ Program Files \

Nyt pidä siirtopainiketta ja napsauta hiiren kakkospainikkeellaWDC-tiedostossa ja valitse avoin komentoikkuna täältä pikavalikosta

Tyyppi:

tshark -r "C: \ Käyttäjät \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T kentät -e ip.src -e ip.ttl -e tcp.window_size

Muista korvata "C: \ Käyttäjät \ Taylor Gibb \ Desktop \ blah.pcap" absoluuttisella reitillä paketin kaappaamiseen. Kun painat Enter-näppäintä, näytetään kaikki SYN-paketit kaappauksesta, ja se on helpompi lukea taulukon muotoa

. Nyt tämä on satunnainen pakettien kaappaus, jonka tein minusta liittymällä How-To Geek -verkkosivustolle, kaikkien muiden juttujen joukossa. Voin kertoa teille kahdesta asiasta varmasti:

  • Oma verkko on 192.168.0.0/24
  • Olen Windows 7 -laatikossa

Jos katsot taulukon ensimmäistä riviä näet, etten valehtele, IP-osoite on192.168.0.84 minun TTL on 128 ja minun TCP-ikkunan koko on 8192, joka vastaa jopa Windows 7: n arvoja.

Seuraavaksi näen 74.125.233.24-osoitteen, jonka TTL on 44 ja TCP-ikkunan koko 5720,jos katson pöytään, ei ole käyttöjärjestelmää, jonka TTL on 44, mutta se sanoo, että Linuxissa, jossa Googlen palvelimilla on TCP-ikkunan koko 5720. Kun olet suorittanut IP-osoitteen nopean verkkohaun, näet, että se onitse asiassa Google-palvelin.

Mitä muuta käytät tshark.exe varten, kerro meille kommentit.