28Aug
Ağa bağlı bir aygıtın hangi işletim sistemini yalnızca ağda iletişim biçimine bakarak çalıştırabileceğinizi öğrenebileceğinizi biliyor muydunuz? Cihazlarımızın hangi işletim sisteminde çalıştığını nasıl keşfedebildiğimizi bir göz atalım.
Neden Bunu Yapardınız?
Bir makine veya aygıtın hangi işletim sisteminde çalıştıklarını belirlemek birçok nedenden dolayı yararlı olabilir.İlk olarak günlük bir bakış açısıyla bakalım, hizmetinizde deneme yapmanız için ayda 50 dolara kapatılan internet sunan yeni bir ISS'ye geçmek istediğinizi düşünün. OS parmak izi kullanarak yakında çöp yönlendiricilerinin olduğunu keşfedeceksiniz ve bir grup Windows Server 2003 makinesinde sunulan bir PPPoE hizmeti sunacaksınız. Artık böyle iyi anlaşılmıyor ha?
Bunun bir başka kullanımı, etik olmasa da, güvenlik açıklarının OS'ye özel olmasıdır.Örneğin, bir bağlantı noktası taraması yaparsınız ve bağlantı noktası 53 açık bulursanız ve makine Bind'in modası geçmiş ve savunmasız bir sürümünü çalıştırıyorsa, başarısız bir denemenin arka planının çökmesine neden olacağından güvenlik boşluğunu kullanmak için tek şansınız vardır.
İşletim Parmak İzi İşleme Nasıl Çalışır?
Geçerli trafiğin pasif analizini yaparken veya eski paket yakalamalarına bakarken, OS Parmak izi oluşturma işleminin en kolay, en etkili yollarından biri, yalnızca TCP pencere boyutunu ve Canlı Yaşam Süresine( TTL) bakmaktır. Bir TCP oturumundaki ilk paket.
İşte daha popüler işletim sistemlerinin değerleri:
| İşletim Sistemi | Yaşam Süresi | TCP Pencere Boyutu |
| Linux( Çekirdek 2.4 ve 2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Windows Vista ve 7( Sunucu 2008) | 128 | 8192 |
| iOS12.4( Cisco Router'lar) | 255 | 4128 |
İşletim sistemlerinin farklı değerlere sahip olması temel nedeni, TCP / IP için RFC'nin varsayılan değerleri öngörmemesi gerçeğidir. Unutulmaması gereken diğer önemli nokta, cihazınız listelenen işletim sistemlerinden birini çalıştırsa bile TTL değerinin tabloda bir tanesine her zaman uyuşmamasıdır; ağa bir IP paketi gönderdiğinizde, gönderen cihazın işletim sistemini görürsünüzTTL'yi bu işletim sisteminin varsayılan TTL'sine ayarlar; ancak paket yönlendiricileri geçerken TTL 1 azaltılır. Dolayısıyla, 117 TTL'sini görürseniz, 128 TL'lik bir TTL ile gönderilen bir paket olması beklenir veYakalanmadan önce 11 yönlendirici geçti.
Bir paket yakalama aldıktan sonra tshark.exe'yi kullanmak, değerleri görmek için en kolay yol, Wireshark'ın kurulu olduğundan emin olun ve sonra şu adrese gidin:
C: \ Program Files \
Şimdi kaydırma düğmesini basılı tutup sağ tıklayın
Şimdi şunu yazın:
tshark -r "C: \ Kullanıcılar \ Taylor Gibb \ Masaüstü \ blah.pcap" "tcp.flags.syn eq 1" -T alanları - wireshark klasörü üzerinde,e ip.src -e ip.ttl -e tcp.window_size
"C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" dosyasını paket yakalama işleminin mutlak yolu ile değiştirdiğinizden emin olun. Bir kez girdiğinizde çekiminizdeki tüm SYN paketleri daha kolay okunur tablo biçiminde gösterilecek
Şimdi bu, Windows'un yapmış olduğu diğer sohbetçilerin arasında How-To Geek Web Sitesine bağlanmaktan beni rasgele bir paket yakaladıSana iki şey söyleyebilirim:
- Yerel ağım 192.168.0.0/24 ise
- Windows 7 kutusundayım
Tablonun ilk satırına bakarsam yalan söylemiyorum göreceğim, IP adresim192.168.0.84 benim TTL 128 ve TCP Pencere Boyutum 8192, Windows 7 değerlerine uyuyor.
Gördüğümde, TTL 44 ve TCP Pencere Boyutu 5720 olan bir 74.125.233.24 adresi var;Tabloma bakarsam, TTL değeri 44 olan hiçbir işletim sistemi yoktur, ancak Google'ın sunucularının çalıştırdığı Linux'un TCP Window Size 5720 olduğunu söylemektedir. IP adresini hızlı bir şekilde web araması yaptıktan sonra, Aslında bir Google Sunucusu.
Için başka tshark.exe dosyasını nasıl kullanıyorsunuz, bize yorum yapın.