28Aug
Vai zinājāt, ka varat noskaidrot, kurā operētājsistēmā tiek izmantota tīkla ierīce, tikai skatoties, kā tā sazinās tīklā?Apskatīsim, kā mēs varam atklāt, kāda operētājsistēma darbojas mūsu ierīcēs.
Kāpēc tu to dari?
Noteikšana, kāda OS ierīce vai ierīce darbojas, var būt noderīga daudzu iemeslu dēļ.Vispirms ļauj apskatīt ikdienas skatījumu, iedomājieties, ka vēlaties pāriet uz jaunu ISP, kurš piedāvā mēnesī neierobežotu internetu par 50 ASV dolāriem, lai jūs varētu izmēģināt savu pakalpojumu. Izmantojot operētājsistēmas pirkstu nospiedumu, jūs drīz atklāsiet, ka viņiem ir atkritumu maršrutētāji, un piedāvājam PPPoE pakalpojumus, ko piedāvā daudzas Windows Server 2003 iekārtas. Vai tas vairs nav tik labs darījums, vai ne?
Vēl viena lieta šim nolūkam, lai arī ne tik ētiska, ir fakts, ka drošības caurumi ir īpaši OS.Piemēram, veicat ostas skenēšanu un atveriet 53. portālu, un mašīna darbojas novecojuša un neaizsargātā Bind versijā, jums ir vienreizēja iespēja izmantot drošības caurumu, jo neizdevās mēģinājums deemonu sagrautos.
Kā OS Fingerprinting darbojas?
Veicot pašreizējās satiksmes pasīvo analīzi vai pat skatoties uz veco pakešu uztveršanu, viens no vienkāršākajiem, efektīvākajiem veidiem, kā veikt operētājsistēmas pirkstu nospiedumu, ir vienkārši aplūkot TCP loga izmēru un Time To Live( TTL) IP galvenēpirmā pakete TCP sesijā.
Šeit ir populārāko operētājsistēmu vērtības:
| operētājsistēma | Laiks dzīvot | TCP loga izmērs |
| Linux( Kernel 2.4 un 2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Windows Vista un 7( Server 2008) | 128 | 8192 |
| iOS12.4( Cisco maršrutētāji) | 255 | 4128 |
Galvenais iemesls tam, ka operētājsistēmām ir dažādas vērtības, ir saistīts ar faktu, ka TCP / IP RFC nenosaka noklusējuma vērtības. Cita svarīga lieta, kas jāatceras, ir tas, ka TTL vērtība ne vienmēr sakrīt ar vienu tabulā, pat ja jūsu ierīcē darbojas kāda no uzskaitītajām operētājsistēmām, jūs redzat, kad nosūtāt IP paketi tīklā, nosūtīšanas ierīces operētājsistēmanosaka TTL noklusējuma TTL par šo OS, bet, tā kā pakete šķērso maršrutētājus, TTL tiek pazemināts par 1. Tāpēc, ja redzat TTL 117, iespējams, ka tas būs pakete, kas tika nosūtīta ar TTL 128 unPirms tiek uztverti, ir šķērsojuši 11 maršrutētājus.
Izmantojot tshark.exe, ir vieglākais veids, kā redzēt vērtības, tiklīdz esat iegādājies pakešu uztveršanu, pārliecinieties, ka instalēta Wireshark, pēc tam dodieties uz:
C: \ Program Files \
Tagad turiet pogas Shift un noklikšķiniet ar peles labo pogumapē wireshark un atlasiet komandu logu šeit no konteksta izvēlnes
Tagad ierakstiet:
tshark -r "C: \ Lietotāji \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T lauki -e ip.src -e ip.ttl -e tcp.window_size
Pārliecinieties, ka aizstājat "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" ar absolūto ceļu uz paketes uztveršanu. Kad jūs nospiedīsiet ievadi, tiks parādīts viss SYN paketēm no jūsu uztveršanas vieglāk nolasīt tabulas formātu
Tagad tas ir izlases pakešu uztveršanas process, ko no manis izveidoja, izveidojot savienojumu ar How-To Geek vietni, starp visiem citiem Windows lietojumprogrammāmEs varu pateikt jums divas lietas:
- Mans vietējais tīkls ir 192.168.0.0/24
- Es esmu Windows 7 lodziņā
Ja paskatās uz tabulas pirmo rindu, jūs redzēsiet, ka neesmu melojis, mana IP adrese ir192.168.0.84 mans TTL ir 128 un mans TCP loga izmērs ir 8192, kas atbilst līdzvērtīgām vērtībām Windows 7.
Nākamā lieta, ko es redzu, ir adrese 74.125.233.24 ar TTL 44 un TCP loga izmērs 5720,ja es skatos uz manu galdu, nav operētājsistēmas ar 44 TTL, tomēr tā apgalvo, ka Linux, kurā darbojas Google serveri, ir TCP loga izmērs 5720. Pēc tam, kad veicāt ātru interneta meklēšanu ar IP adresi, jūs redzēsit, ka tas irpatiesībā ir Google serveris.
Ko vēl jūs izmantojat tshark.exe, pastāstiet mums komentāros.