Hacker Geek OS Sormenjälki TTL- ja TCP-ikkunakoot
Tiesitkö, että voit selvittää, mitä käyttöjärjestelmää verkkolaite toimii vain katsomalla, miten se kommunikoi verkossa? Katsotaanpa, miten voimme selvittää, mitä käyttöjärjestelmiä laitteemme ovat käynnissä.
Miksi teet tämän?
Laitteen tai laitteen käyttöjärjestelmän määrittäminen voi olla hyödyllistä monista syistä. Ensinnäkin voit tarkastella jokapäiväistä näkökulmaa, kuvitella, että haluat siirtyä uuteen Internet-palveluntarjoajaan, joka tarjoaa rajattoman internetin 50 dollaria kuukaudessa, joten otat kokeilun heidän palvelustaan. Käyttämällä OS-sormenjälkiä huomaat pian, että niillä on roskatreitittimet ja ne tarjoavat PPPoE-palvelua, joka tarjotaan useissa Windows Server 2003 -laitteissa. Ei kuulosta niin hyvältä, huh?
Toinen käyttötarkoitus, vaikkakaan ei niin eettinen, on se, että tietoturva-aukot ovat käyttöjärjestelmäkohtaisia. Esimerkiksi portin skannaus ja portti 53 ovat auki ja laite käyttää vanhentunutta ja haavoittuvaa versiota Bindistä, sinulla on SINGLE mahdollisuus hyödyntää tietoturva-aukkoa, koska epäonnistunut yritys kaatuisi demonin.
Miten OS-sormenjälkityö toimii?
Kun teet passiivista analyysiä nykyisestä liikenteestä tai katsot vanhoja pakettien tallennuksia, yksi helpoimmista, tehokkaimmista tavoista käyttää OS-sormenjälkiä on yksinkertaisesti tarkastella TCP-ikkunan kokoa ja aikaa elää (TTL) ensimmäisen IP-otsikon kohdalla. paketti TCP-istunnossa.
Tässä ovat suosituimpien käyttöjärjestelmien arvot:
Käyttöjärjestelmä | Aika elää | TCP-ikkunan koko |
Linux (Kernel 2.4 ja 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista ja 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco-reitittimet) | 255 | 4128 |
Tärkein syy siihen, että käyttöjärjestelmillä on erilaisia arvoja, johtuu siitä, että TCP / IP: n RFC: t eivät määritä oletusarvoja. Muita tärkeitä asioita on muistaa, että TTL-arvo ei aina vastaa taulukossa olevaa arvoa, vaikka laitteessasi on jokin luetelluista käyttöjärjestelmistä, kun lähetät IP-paketin verkon kautta, lähettävän laitteen käyttöjärjestelmä asettaa TTL: n oletusarvoiseksi TTL: ksi kyseiselle käyttöjärjestelmälle, mutta koska paketti kulkee reitittimiltä, TTL laskee arvolla 1. Siksi, jos näet 117: n TTL: n, voidaan odottaa olevan paketti, joka lähetettiin TTL: llä 128 ja on kulkenut 11 reititintä ennen kuin se on otettu.
Tshark.exe-tiedoston käyttäminen on helpoin tapa nähdä arvot, joten kun olet saanut pakettien tallennuksen, varmista, että sinulla on Wireshark asennettu, ja siirry osoitteeseen:
C: Ohjelmatiedostot
Pidä siirtonäppäintä painettuna ja napsauta hiiren kakkospainikkeella wireshark-kansiota ja valitse avaa komentoikkuna tässä kontekstivalikosta
Kirjoita nyt:
tshark -r "C: Käyttäjät Taylor Gibb Työpöytä blah.pcap" "tcp.flags.syn eq 1" -T-kentät -e ip.src -e ip.ttl -e tcp.window_size
Vaihda “C: käyttäjätaylor gibb -työpöytä blah.pcap” ehdottomasti polkuasi. Kun painat Enter-näppäintä, näyttöön tulee kaikki SYN-paketit, jotka on helpompi lukea taulukon muodossa
Nyt tämä on satunnainen pakettien sieppaus, jonka tein tekemästä yhteydestä How-To Geek -verkkosivustoon, kaikkien muiden chatter-ikkunoiden joukossa voin kertoa teille kaksi asiaa varmasti:
- Oma paikallinen verkko on 192.168.0.0/24
- Olen Windows 7 -ruutuun
Jos tarkastelet taulukon ensimmäistä riviä, et näe, etten valehtele, IP-osoitteeni on 192.168.0.84 TTL on 128 ja TCP-ikkunan koko on 8192, joka vastaa Windows 7 -arvoja.
Seuraava asia, jota näen, on 74.125.233.24-osoite, jonka TTL on 44 ja TCP-ikkunan koko 5720, jos katson pöytäni, ei ole käyttöjärjestelmää, jonka TTL-arvo on 44, mutta se sanoo, että Linux on Googlen palvelimet käynnissä on TCP-ikkunan koko 5720. Kun olet suorittanut pikahakua IP-osoitteesta, näet, että se on itse asiassa Google-palvelin.
Mitä muuta käytät tshark.exe-tiedostossa, kerro meille kommenteista.