If-Koubou

Hacker Geek: Отпечатване на пръстови отпечатъци на OS с TTL и TCP Window Размери

Hacker Geek: Отпечатване на пръстови отпечатъци на OS с TTL и TCP Window Размери (Как да)

Знаете ли, че можете да разберете коя операционна система работи в мрежа, просто като разгледате начина, по който тя комуникира в мрежата? Нека да разгледаме как можем да открием коя операционна система използват нашите устройства.

Защо бихте направили това?

Определянето на каква операционна система работи машина или устройство може да бъде полезно по много причини. Първо погледнете ежедневната перспектива, представете си, че искате да преминете към нов интернет доставчик, който предлага неограничен интернет за $ 50 на месец, така че да вземете изпитание за тяхната услуга. С помощта на снемането на пръстови отпечатъци на OS скоро ще откриете, че имат маршрутизатори за боклук и предлагат PPPoE услуга, предлагана на куп Windows Server 2003 машини. Вече не звучи като такава добра сделка, а?

Друга употреба за това, макар и не толкова етична, е фактът, че дупките за сигурност са специфични за ОС. Например, правите сканиране на пристанища и откриете порт 53 отворен и машината работи с остаряла и уязвима версия на Bind, имате SINGLE шанс да се възползвате от дупката за сигурност, тъй като неуспешен опит би удрял демона.

Как функционира отпечатването на пръстови отпечатъци на OS?

Когато правите пасивен анализ на текущия трафик или дори гледате стари пакетни улавяния, един от най-лесните и ефективни начини за правене на пръстови отпечатъци на OS е просто да разгледате размера на прозореца на TCP и Time To Live (TTL) в IP заглавката на първия пакет в сесия на TCP.

Ето и стойностите за по-популярните операционни системи:

Операционна система Време за живеене Размер на TCP прозореца
Linux (ядра 2.4 и 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Уиндоус експи 128 65535
Windows Vista и 7 (сървър 2008) 128 8192
iOS 12.4 (Cisco Routers) 255 4128

Основната причина, поради която операционните системи имат различни стойности, се дължи на факта, че RFC за TCP / IP не предвиждат стойности по подразбиране. Друго важно нещо, което трябва да запомните, е, че стойността на TTL няма винаги да съвпада с една в таблицата, дори ако устройството ви работи с една от изброените операционни системи, виждате, когато изпращате IP пакет в мрежата на операционната система на изпращащото устройство настройва TTL на TTL по подразбиране за тази операционна система, но тъй като пакетът преминава през маршрутизатори, TTL се снижава с 1. Следователно, ако видите TTL от 117, това може да се очаква да бъде пакет, изпратен с TTL 128 е преминал 11 маршрута, преди да бъде заловен.

Използването на tshark.exe е най-лесният начин да видите стойностите, така че след като сте получили заснемане на пакети, уверете се, че сте инсталирали Wireshark, след което преминете към:

C: \ Program Files \

Сега задръжте бутона за смяна и щракнете с десния бутон на мишката върху папката wireshark и отворете командния прозорец тук от контекстното меню

Сега въведете:

tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T полета -e ip.src -e ip.ttl -e tcp.window_size

Не забравяйте да замените "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" с абсолютния път към заснемането на пакети. След като натиснете Enter, ще се покажат всички SYN пакети от улавянето ви, по-лесен за четене формат на таблицата

Сега това е случайно улавяне на пакети, което направих от мен, свързвайки се с уеб сайта How-To Geek, сред всички останали разговорници, които Windows прави, мога да ви кажа две неща със сигурност:

  • Локалната ми мрежа е 192.168.0.0/24
  • Аз съм на Windows 7 кутия

Ако погледнете първия ред на таблицата, ще видите, че не съм лъжа, моят IP адрес е 192.168.0.84 моят TTL е 128 и моят TCP Window Size е 8192, което съответства на стойностите за Windows 7.

Следващото нещо, което виждам, е адресът на адрес 74.125.233.24 с TTL от 44 и TCP Window Size от 5720, ако погледна на масата ми, няма операционна система с TTL от 44, но се казва, че Linux, че сървърите на Google изпълнете TCP Window Size 5720. След като извършите бързо търсене в мрежата на IP адреса, ще видите, че той всъщност е сървър на Google.

Какво друго използвате tshark.exe за, кажете ни в коментарите.