Hacker Geek OS Sõrmejälgimine TTL ja TCP akna suurustega
Kas teadsite, et saate teada, millist operatsioonisüsteemi võrguseade töötab, vaadates seda, kuidas see võrgus suhtleb? Vaatame, kuidas saame teada, millised operatsioonisüsteemid meie seadmed töötavad.
Miks sa seda teeksid?
Seadme või seadme operatsioonisüsteemi toimimise kindlaksmääramine võib olla kasulik mitmel põhjusel. Kõigepealt saate vaadata igapäevast vaatenurka, kujutada ette, et soovite minna üle uuele ISP-le, kes pakub piiramatu interneti eest $ 50 kuus, nii et te võtate nende teenuse proovimise. OS-i sõrmejälgede kasutamisel avastate peagi, et neil on prügi marsruuterid ja nad pakuvad PPPoE teenust, mida pakutakse mitmetes Windows Server 2003 masinates. Ei tundu enam nii palju, huh?
Teine selle kasutamise võimalus, kuigi mitte nii eetiline, on asjaolu, et turvarõngad on OS-iga spetsiifilised. Näiteks teete porti skaneerimise ja avate porti 53 avatuna ja masin töötab Bindi vananenud ja haavatavas versioonis, teil on SINGLE võimalus kasutada turvaaugu, sest ebaõnnestunud katse katkestab deemonit.
Kuidas OS sõrmejälgede tööd?
Praeguse liikluse passiivse analüüsi tegemisel või isegi vanade pakettide jäädvustamisel vaadates on üks lihtsamaid, tõhusamaid viise OS-i sõrmejälgede tegemiseks, vaadates lihtsalt esimese TCP-akna suurust ja aega elus (TTL) esimeses pakettaknad.
Siin on populaarsemate operatsioonisüsteemide väärtused:
Operatsioonisüsteem | Elada | TCP akna suurus |
Linux (Kernel 2.4 ja 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista ja 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco ruuterid) | 255 | 4128 |
Põhiline põhjus, miks operatsioonisüsteemidel on erinevad väärtused, on tingitud asjaolust, et TCP / IP RFC-d ei näe ette vaikeväärtusi. Oluline on meeles pidada, et TTL-i väärtus ei vasta alati tabelis olevale väärtusele, isegi kui teie seade töötab mõnel loetletud operatsioonisüsteemidest, näete, kui saadate IP-paketi võrgus üle saatva seadme operatsioonisüsteemi seab TTL selle OS-i vaikimisi TTL-ile, kuid kuna pakett läbib ruutereid, alandatakse TTL-i 1. Seega, kui näete TTL-i 117, võib eeldada, et see on pakett, mis saadeti TTL-iga 128 ja on enne pildistamist läbinud 11 ruuterit.
Tshark.exe kasutamine on kõige lihtsam viis väärtuste nägemiseks, nii et kui olete pakettaknad kätte saanud, veenduge, et teil on installitud Wireshark, seejärel navigeerige:
C: programmifailid
Hoidke nüüd käivitusnuppu ja paremklõpsake wireshark-kaustal ning valige kontekstimenüüst käsk avatud käsk
Nüüd tüüp:
tshark -r "C: kasutajad Iaylor Gibb Töölaua blah.pcap" "tcp.flags.syn eq 1" -T väljad -e ip.src -e ip.ttl -e tcp.window_size
Veenduge, et asendate “C: kasutajate Haylor Gibb töölaua blah.pcap” absoluutse teekonnaga teie pakettaknast. Kui olete sisestanud, ilmub teile kõik teie SYN-paketid, mida on lihtsam lugeda tabeli vormingus
Nüüd on see juhuslik pakettide hõivamine, mille ma tegin, ühendades How-To Geeki veebisaidi, muu hulgas räägib Windowsist, et saan teile kaht asja kindlasti öelda:
- Minu kohalik võrk on 192.168.0.0/24
- Olen Windows 7 kasti
Kui vaatate tabeli esimest rida, näete, et ma ei valeta, minu IP-aadress on 192.168.0.84 minu TTL on 128 ja minu TCP akna suurus on 8192, mis vastab Windows 7 väärtustele.
Järgmine asi, mida ma näen, on 74.125.233.24 aadress, mille TTL on 44 ja TCP akna suurus 5720, kui ma vaatan oma tabelit, ei ole OS-i, mille TTL on 44, kuid ei ütle, et Linux on Google'i serverid käivitamisel on TCP akna suurus 5720. Pärast IP-aadressi kiiret veebiotsingut näete, et see on tegelikult Google'i server.
Mida veel tshark.exe jaoks kasutate, ütle meile oma kommentaarides.