28Aug
האם ידעת שבאפשרותך לברר איזו מערכת הפעלה פועל התקן רשת רק על-ידי בחינת האופן שבו היא מתקשרת ברשת?בואו נסתכל על איך אנחנו יכולים לגלות מה מערכת ההפעלה שלנו התקנים פועלים.
למה אתה עושה את זה?
קביעת מערכת ההפעלה שמכונה או התקן פועלים יכולה להיות שימושית מסיבות רבות.ראשית מאפשר להסתכל על פרספקטיבה היומיום, לדמיין אתה רוצה לעבור לספק שירותי אינטרנט חדש המציע uncaped אינטרנט עבור $ 50 לחודש אז אתה לוקח משפט השירות שלהם.באמצעות טביעת אצבע OS אתה בקרוב לגלות שיש להם נתבים אשפה להציע שירות PPPoE הציע על חבורה של Windows Server 2003 מכונות.ללא שם: לא נשמע יותר כמו עסקה טובה יותר, נכון?
עוד שימוש זה, אם כי לא כל כך מוסרי, היא העובדה חורים אבטחה ספציפיות OS.לדוגמה, אתה עושה יציאה לסרוק ולמצוא יציאה 53 לפתוח את המכונה פועלת גרסה מיושנת ופגיעה של בינד, יש לך הזדמנות אחת לנצל את חור האבטחה מאז ניסיון כושל היה לקרוס את הדמון.
כיצד פועל טביעת אצבע של מערכת ההפעלה?
כאשר עושים ניתוח פסיבי של התנועה הנוכחית או אפילו מסתכל על מנות הישן לוכדת, אחת הקלה, יעילה, דרכים לעשות OS Fingerprinting היא פשוט להסתכל על גודל חלון TCP ו זמן לחיות( TTL) בכותרת ה- IP שלהמנה הראשונה בהפעלת TCP.
להלן הערכים של מערכות ההפעלה הפופולרית יותר:
| מערכת הפעלה | זמן לחיות | גודל חלון TCP |
| לינוקס( Kernel 2.4 ו -2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Windows Vista ו- Windows Server 2008( | 128 | 8192 |
| )12.4( Cisco Routers) | 255 | 4128 |
הסיבה העיקרית לכך שמערכות ההפעלה יש להן ערכים שונים נובעת מכך שה - RFC של TCP / IP אינו קובע ערכי ברירת מחדל.דבר חשוב נוסף שיש לזכור הוא שהערך TTL לא תמיד יתאים לאחד מהטבלה, גם אם המכשיר שלך מפעיל אחת ממערכות ההפעלה המפורטות, אתה רואה בעת שליחת מנות IP ברחבי הרשת של מערכת ההפעלה של המכשיר השולחקובעת את TTL ל- TTL המוגדר כברירת המחדל עבור מערכת ההפעלה הזו, אך ככל שהחבילה חוצה נתבים, TTL יורדת על ידי 1. לכן, אם אתה רואה TTL של 117 זה יכול להיות צפוי להיות מנות שנשלח עם TTL של 128 וחצה 11 נתבים לפני שנלכד.
שימוש ב- tshark.exe הוא הדרך הקלה ביותר לראות את הערכים כך שברגע שתקבל חבילת מנות, ודא שיש לך את Wireshark מותקן, ולאחר מכן נווט אל:
C: \ Program Files \
כעת לחץ לחיצה ממושכת על לחצן shift ובחר בלחיצה ימניתעל תיקיית wireshark ובחר לפתוח חלון פקודה כאן מתוך תפריט ההקשר
עכשיו סוג:
tshark -r "C: \ Users \ טיילור Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T שדות -ed.src -e ip.ttl -e tcp.window_size
הקפד להחליף את "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" עם הנתיב המוחלט ללכידת מנות שלך.ברגע שאתה מכה להיכנס אתה תוצג כל מנות SYN מ ללכוד שלך קל יותר לקרוא את תבנית השולחן
עכשיו זה ללכוד מנות אקראית שעשיתי לי להתחבר לאתר How-To Geek, בין כל פטפוט אחר Windows עושהאני יכול להגיד לך שני דברים בוודאות:
- הרשת המקומית שלי היא 192.168.0.0/24
- אני על תיבת Windows 7
אם אתה מסתכל על השורה הראשונה של הטבלה תראה אני לא משקר, כתובת ה- IP שלי היא192.168.0.84 TTL שלי הוא 128 ואת גודל חלון TCP שלי הוא 8192, אשר תואם עד ערכים עבור Windows 7.
הדבר הבא שאני רואה הוא כתובת 74.125.233.24 עם TTL של 44 ו גודל חלון TCP של 5720,אם אני מסתכל על השולחן שלי אין מערכת הפעלה עם TTL של 44, אולם הוא אומר כי לינוקס כי שרתים של Google לרוץ יש גודל חלון TCP 5720. לאחר ביצוע חיפוש מהיר באינטרנט של כתובת ה- IP תראה כי זהלמעשה שרת של Google.
מה עוד אתה משתמש tshark.exe עבור, לספר לנו את ההערות.
