Kotisivu » miten » Hacker Geek OS Sormenjälki TTL- ja TCP-ikkunakoot

    Hacker Geek OS Sormenjälki TTL- ja TCP-ikkunakoot

    Tiesitkö, että voit selvittää, mitä käyttöjärjestelmää verkkolaite toimii vain katsomalla, miten se kommunikoi verkossa? Katsotaanpa, miten voimme selvittää, mitä käyttöjärjestelmiä laitteemme ovat käynnissä.

    Miksi teet tämän?

    Laitteen tai laitteen käyttöjärjestelmän määrittäminen voi olla hyödyllistä monista syistä. Ensinnäkin voit tarkastella jokapäiväistä näkökulmaa, kuvitella, että haluat siirtyä uuteen Internet-palveluntarjoajaan, joka tarjoaa rajattoman internetin 50 dollaria kuukaudessa, joten otat kokeilun heidän palvelustaan. Käyttämällä OS-sormenjälkiä huomaat pian, että niillä on roskatreitittimet ja ne tarjoavat PPPoE-palvelua, joka tarjotaan useissa Windows Server 2003 -laitteissa. Ei kuulosta niin hyvältä, huh?

    Toinen käyttötarkoitus, vaikkakaan ei niin eettinen, on se, että tietoturva-aukot ovat käyttöjärjestelmäkohtaisia. Esimerkiksi portin skannaus ja portti 53 ovat auki ja laite käyttää vanhentunutta ja haavoittuvaa versiota Bindistä, sinulla on SINGLE mahdollisuus hyödyntää tietoturva-aukkoa, koska epäonnistunut yritys kaatuisi demonin.

    Miten OS-sormenjälkityö toimii?

    Kun teet passiivista analyysiä nykyisestä liikenteestä tai katsot vanhoja pakettien tallennuksia, yksi helpoimmista, tehokkaimmista tavoista käyttää OS-sormenjälkiä on yksinkertaisesti tarkastella TCP-ikkunan kokoa ja aikaa elää (TTL) ensimmäisen IP-otsikon kohdalla. paketti TCP-istunnossa.

    Tässä ovat suosituimpien käyttöjärjestelmien arvot:

    Käyttöjärjestelmä Aika elää TCP-ikkunan koko
    Linux (Kernel 2.4 ja 2.6) 64 5840
    Google Linux 64 5720
    FreeBSD 64 65535
    Windows XP 128 65535
    Windows Vista ja 7 (Server 2008) 128 8192
    iOS 12.4 (Cisco-reitittimet) 255 4128

    Tärkein syy siihen, että käyttöjärjestelmillä on erilaisia ​​arvoja, johtuu siitä, että TCP / IP: n RFC: t eivät määritä oletusarvoja. Muita tärkeitä asioita on muistaa, että TTL-arvo ei aina vastaa taulukossa olevaa arvoa, vaikka laitteessasi on jokin luetelluista käyttöjärjestelmistä, kun lähetät IP-paketin verkon kautta, lähettävän laitteen käyttöjärjestelmä asettaa TTL: n oletusarvoiseksi TTL: ksi kyseiselle käyttöjärjestelmälle, mutta koska paketti kulkee reitittimiltä, ​​TTL laskee arvolla 1. Siksi, jos näet 117: n TTL: n, voidaan odottaa olevan paketti, joka lähetettiin TTL: llä 128 ja on kulkenut 11 reititintä ennen kuin se on otettu.

    Tshark.exe-tiedoston käyttäminen on helpoin tapa nähdä arvot, joten kun olet saanut pakettien tallennuksen, varmista, että sinulla on Wireshark asennettu, ja siirry osoitteeseen:

    C: Ohjelmatiedostot

    Pidä siirtonäppäintä painettuna ja napsauta hiiren kakkospainikkeella wireshark-kansiota ja valitse avaa komentoikkuna tässä kontekstivalikosta

    Kirjoita nyt:

    tshark -r "C: Käyttäjät Taylor Gibb Työpöytä blah.pcap" "tcp.flags.syn eq 1" -T-kentät -e ip.src -e ip.ttl -e tcp.window_size

    Vaihda “C: käyttäjätaylor gibb -työpöytä blah.pcap” ehdottomasti polkuasi. Kun painat Enter-näppäintä, näyttöön tulee kaikki SYN-paketit, jotka on helpompi lukea taulukon muodossa

    Nyt tämä on satunnainen pakettien sieppaus, jonka tein tekemästä yhteydestä How-To Geek -verkkosivustoon, kaikkien muiden chatter-ikkunoiden joukossa voin kertoa teille kaksi asiaa varmasti:

    • Oma paikallinen verkko on 192.168.0.0/24
    • Olen Windows 7 -ruutuun

    Jos tarkastelet taulukon ensimmäistä riviä, et näe, etten valehtele, IP-osoitteeni on 192.168.0.84 TTL on 128 ja TCP-ikkunan koko on 8192, joka vastaa Windows 7 -arvoja.

    Seuraava asia, jota näen, on 74.125.233.24-osoite, jonka TTL on 44 ja TCP-ikkunan koko 5720, jos katson pöytäni, ei ole käyttöjärjestelmää, jonka TTL-arvo on 44, mutta se sanoo, että Linux on Googlen palvelimet käynnissä on TCP-ikkunan koko 5720. Kun olet suorittanut pikahakua IP-osoitteesta, näet, että se on itse asiassa Google-palvelin.

    Mitä muuta käytät tshark.exe-tiedostossa, kerro meille kommenteista.