28Aug
Tahukah Anda bahwa Anda dapat mengetahui sistem operasi mana perangkat jaringan yang berjalan hanya dengan melihat cara berkomunikasi di jaringan? Mari kita lihat bagaimana kita bisa menemukan sistem operasi yang sedang dijalankan oleh perangkat kita.
Mengapa Anda Melakukan Ini?
Menentukan apakah OS atau perangkat berjalan bisa berguna karena berbagai alasan. Pertama mari kita lihat perspektif sehari-hari, bayangkan Anda ingin beralih ke ISP baru yang menawarkan internet yang belum dibuka seharga $ 50 per bulan sehingga Anda melakukan percobaan atas layanan mereka. Dengan menggunakan OS fingerprinting Anda akan segera menemukan bahwa mereka memiliki router sampah dan menawarkan layanan PPPoE yang ditawarkan pada sekumpulan mesin Windows Server 2003.Tidak terdengar seperti kesepakatan yang bagus lagi, ya?
Penggunaan lain untuk ini, walaupun tidak begitu etis, adalah kenyataan bahwa lubang keamanan adalah OS yang spesifik. Misalnya, Anda melakukan port scan dan menemukan port 53 terbuka dan mesin menjalankan versi Bind yang ketinggalan jaman dan rentan, Anda memiliki kesempatan SINGLE untuk mengeksploitasi lubang keamanan karena usaha yang gagal akan menghancurkan dasmon.
Bagaimana Cara Kerja Sidik Jari OS?
Saat melakukan analisis pasif terhadap lalu lintas saat ini atau bahkan melihat tangkapan paket lama, salah satu cara yang paling mudah dan efektif dalam melakukan OS Fingerprinting adalah dengan melihat ukuran jendela TCP dan Time To Live( TTL) di header IP daripaket pertama dalam sesi TCP.
Berikut adalah nilai untuk sistem operasi yang lebih populer:
| Sistem Operasi | Waktu Untuk Hidup | Ukuran Jendela TCP |
| Linux( Kernel 2.4 dan 2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Windows Vista dan 7( Server 2008) | 128 | 8192 |
| iOS12.4( Router Cisco) | 255 | 4128 |
Alasan utama mengapa sistem operasi memiliki nilai yang berbeda adalah karena RFC untuk TCP / IP tidak menetapkan nilai default. Hal penting lainnya yang perlu diingat adalah bahwa nilai TTL tidak akan selalu sesuai dengan yang ada di tabel, bahkan jika perangkat Anda menjalankan salah satu sistem operasi yang terdaftar, Anda akan melihat saat Anda mengirim paket IP di jaringan sistem operasi perangkat pengirimmenetapkan TTL ke TTL default untuk OS itu, namun saat paket melintasi router, TTL diturunkan 1. Oleh karena itu, jika Anda melihat TTL dari 117 ini dapat diharapkan menjadi paket yang dikirim dengan TTL 128 dantelah melintasi 11 router sebelum ditangkap.
Menggunakan tshark.exe adalah cara termudah untuk melihat nilainya sehingga setelah Anda berhasil menangkap paket, pastikan Anda menginstal Wireshark, lalu navigasikan ke:
C: \ Program Files \
Sekarang tahan tombol shift dan klik kananpada folder wireshark dan pilih open command window di sini dari menu konteks
Sekarang ketik:
tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T field -e ip.src -e ip.ttl -e tcp.window_size
Pastikan untuk mengganti "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" dengan path absolut untuk menangkap paket Anda. Setelah Anda menekan enter Anda akan ditunjukkan semua paket SYN dari tangkapan Anda lebih mudah untuk membaca format tabel
Sekarang ini adalah penangkapan paket acak yang saya buat dari saya terhubung ke Situs How-To Geek, di antara semua obrolan lain yang sedang dilakukan Windows. Saya dapat memberitahu Anda dua hal yang pasti:
- Jaringan lokal saya adalah 192.168.0.0/24
- Saya menggunakan kotak Windows 7
Jika Anda melihat baris pertama tabel yang akan Anda lihat, saya tidak berbohong, alamat IP saya adalah192.168.0.84 TTL saya adalah 128 dan Ukuran Jendela TCP saya adalah 8192, yang sesuai dengan nilai untuk Windows 7.
Hal berikutnya yang saya lihat adalah alamat 74.125.233.24 dengan TTL 44 dan Ukuran Jendela TCP 5720,Jika saya melihat tabel saya tidak ada OS dengan TTL 44, namun dikatakan bahwa Linux yang dijalankan server Google memiliki Ukuran Jendela TCP 5720. Setelah melakukan pencarian web cepat dari alamat IP Anda akan melihat bahwa itu adalahsebenarnya Google Server.
Apa lagi yang Anda gunakan untuk tshark.exe, beritahu kami di komentar.
