28Aug
Jeste li znali da možete saznati koji operativni sustav umreženi uređaj radi samo gledajući način na koji komunicira na mreži? Pogledajmo kako možemo otkriti koji operativni sustav funkcioniraju naši uređaji.
Zašto biste to učinili?
Određivanje OS uređaja ili uređaja može biti korisno iz više razloga. Prvo vam omogućuje da pogledate svakodnevnu perspektivu, zamislite da se želite prebaciti na novog ISP-a koji nudi neobuzdan internet za 50 dolara mjesečno kako biste proveli probnu verziju svoje usluge. Korištenjem otisaka prstiju OS-a uskoro ćete otkriti da imaju routere za otpad i nude PPPoE uslugu koja se nudi na hrpi Windows Server 2003 strojeva. Više ne zvuči tako dobar posao, ha?
Druga upotreba za ovu, iako ne tako etičnu, jest činjenica da su sigurnosne rupe OS specifične. Na primjer, skeniranje portova i otvaranje priključka 53, a stroj je pokrenuo zastarjelu i ranjivu verziju veze, imate SINGLE priliku za iskorištavanje sigurnosne rupice jer će neuspjeli pokušaj pasti daemon.
Kako funkcionira Fingerprinting tvrtke?
Kada se radi o pasivnoj analizi trenutačnog prometa ili čak gledanjem na snimanje starih paketa, jedan od najlakših i učinkovitijih načina izvođenja Fingerprintinga je jednostavno gledanje na veličinu prozora TCP i Time to Live( TTL) u IP zaglavljuprvi paket u TCP sesiji.
Ovdje su vrijednosti za više popularnih operacijskih sustava:
Operacijski sustav | Vrijeme za život | TCP veličina prozora |
Linux( Kernel 2.4 i 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista i 7( Server 2008) | 128 | 8192 |
iOS12.4( Cisco usmjerivači) | 255 | 4128 |
Glavni razlog zbog kojeg operacijski sustavi imaju različite vrijednosti je zbog činjenice da RFC-ovi za TCP / IP ne određuju zadane vrijednosti. Druga važna stvar koju treba zapamtiti jest da se TTL vrijednost neće uvijek podudarati s jednim u tablici, čak i ako vaš uređaj pokreće jedan od navedenih operacijskih sustava, vidjet ćete kada šaljete IP paket preko mreže operativni sustav za slanjepostavlja TTL na zadani TTL za taj operacijski sustav, ali kako paket prelazi usmjerivače, TTL se spušta za 1. Stoga, ako vidite TTL od 117, to se može očekivati da je paket koji je poslan s TTL od 128 ije prešao 11 usmjerivača prije nego što je zarobljen.
Korištenje tshark.exe je najlakši način da vidite vrijednosti tako da nakon što ste dobili paketni paket, provjerite jeste li instalirali Wireshark, a zatim prijeđite na:
C: \ Program Files \
Sad držite gumb za pomicanje i kliknite desnom tipkom mišana Wireshark mapi i odaberite otvoreni naredbeni prozor ovdje iz kontekstnog izbornika
Sada upišite:
tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T polja -e ip.src -e ip.ttl -e tcp.window_size
Obavezno zamijenite "C: \ Korisnici \ Taylor Gibb \ Desktop \ blah.pcap" s apsolutnim putem do hvatanja paketa. Jednom kada pritisnete Enter, bit će prikazan sve SYN pakete iz vašeg hvatanja lakši za čitanje formata tablice
Sada je to slučajni hvatanje paketa koje sam napravio od mene, povezujući se s How-To Geek webom, među svim ostalim čavrljanjem Windows radiMogu vam reći dvije stvari sigurno:
- Moja lokalna mreža je 192.168.0.0/24
- Ja sam na Windows 7 kutija
Ako pogledate prvu liniju tablice vidjet ćete da ne lažem, moja IP adresa je192.168.0.84 moj TTL je 128 i moj TCP veličina prozora je 8192, što odgovara vrijednostima za Windows 7.
Sljedeća stvar koju vidim je adresa 74.125.233.24 s TTL od 44 i prozor TCP veličine 5720,ako pogledam na moj stol ne postoji OS sa TTL od 44, no to kaže da je Linux koji pokrenuti Googleovi poslužitelji imaju TCP veličinu prozora 5720. Nakon brzog pretraživanja weba IP adrese vidjet ćete da je tou stvari Google poslužitelj.
Što još koristite tshark.exe za, recite nam u komentarima.