Hacker Geek OS Pirkstu nospiedumu noņemšana ar TTL un TCP logu izmēriem
Vai zinājāt, ka jūs varat uzzināt, kura operētājsistēma darbojas tīklā, skatoties, kā tā sazinās tīklā? Apskatīsim, kā mēs varam atklāt, kādas operētājsistēmas mūsu ierīces darbojas.
Kāpēc jūs to darītu?
Nosakot, kāda OS vai ierīces operētājsistēma darbojas, var būt noderīga daudzu iemeslu dēļ. Vispirms ļauj apskatīt ikdienas perspektīvu, iedomājieties, ka vēlaties pāriet uz jaunu ISP, kurš piedāvā neierobežotu internetu par 50 ASV dolāriem mēnesī, lai jūs izmēģinātu savu pakalpojumu. Izmantojot OS pirkstu nospiedumus, jūs drīz atklāsiet, ka viņiem ir atkritumu maršrutētāji un tie piedāvā PPPoE pakalpojumu, kas tiek piedāvāts Windows Server 2003 iekārtās. Nav skaņas, piemēram, tik labs?
Vēl viens to lietojums, lai gan ne tik ētisks, ir fakts, ka drošības caurumi ir specifiski OS. Piemēram, jūs veicat portu skenēšanu un atverat 53 portu, un mašīna darbojas novecojušā un neaizsargātā Bind versijā, jums ir vienota iespēja izmantot drošības caurumu, jo neveiksmīgs mēģinājums sabruks dēmonu.
Kā darbojas OS pirkstu nospiedumu apstrāde?
Veicot pasīvo pašreizējās satiksmes analīzi vai pat aplūkojot vecos pakešu ierakstus, viens no vienkāršākajiem, efektīvākajiem veidiem, kā veikt OS pirkstu nospiedumu noņemšanu, ir vienkārši apskatīt TCP loga izmēru un laiku, lai dzīvotu (TTL) pirmā IP galvenē. paketi TCP sesijā.
Šeit ir populārāko operētājsistēmu vērtības:
Operētājsistēma | Laiks dzīvot | TCP loga izmērs |
Linux (kodols 2.4 un 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista un 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco maršrutētāji) | 255 | 4128 |
Galvenais iemesls, kāpēc operētājsistēmām ir atšķirīgas vērtības, ir saistīts ar to, ka RFC par TCP / IP nenosaka noklusējuma vērtības. Cita svarīga lieta, kas jāatceras, ir tā, ka TTL vērtība ne vienmēr atbilst tabulā norādītajai vērtībai, pat ja ierīce darbojas vienā no uzskaitītajām operētājsistēmām, jūs redzat, kad sūtāt IP paketi visā tīklā nosūtītās ierīces operētājsistēmu. iestata TTL noklusējuma TTL šai operētājsistēmai, bet, tā kā pakete šķērso maršrutētājus, TTL tiek samazināts par 1. Tāpēc, ja redzat TTL ar 117, var sagaidīt, ka tā būs pakete, kas tika nosūtīta ar TTL ar 128 un pirms sagūstīšanas ir pārgājis 11 maršrutētājus.
Izmantojot tshark.exe, ir visvienkāršākais veids, kā redzēt vērtības, lai pēc tam, kad esat ieguvis pakešu uztveršanu, pārliecinieties, vai instalēta Wireshark, un pēc tam dodieties uz:
C: Programmas faili
Tagad turiet nospiestu taustiņu Shift un ar peles labo pogu noklikšķiniet uz mapes mapes un izvēlieties konteksta izvēlnē atvērt atvērto komandu logu
Tagad ierakstiet:
tshark -r "C: Lietotāji Taylor Gibb Darbvirsmas blah.pcap" "tcp.flags.syn eq 1" -T lauki -e ip.src -e ip.ttl -e tcp.window_size
Pārliecinieties, lai aizvietotu “C: Lietotājiem Taylor Gibb Desktop blah.pcap” ar absolūtu ceļu uz jūsu pakešu uztveršanu. Kad noklikšķināsiet uz Enter, jums tiks parādīti visi SYN paketes no jūsu uztveršanas, kas ir vieglāk lasāms tabulas formātā
Tagad tas ir nejaušs pakešu uztveršana, ko es no manis izveidoju, lai izveidotu savienojumu ar vietni How-To Geek, starp visiem pārējiem Windows lietojumiem varu pateikt divas lietas:
- Mans vietējais tīkls ir 192.168.0.0/24
- Es esmu Windows 7 lodziņā
Ja paskatās uz tabulas pirmo rindu, jūs redzēsiet, ka neesmu melojis, mana IP adrese ir 192.168.0.84 Mans TTL ir 128 un mans TCP loga izmērs ir 8192, kas atbilst Windows 7 vērtībām.
Nākamā lieta, ko redzu, ir 74.125.233.24 adrese ar 44 TTL un 5720 TCP logu izmēru, ja aplūkoju savu galdu, nav OS ar 44 TTL, tomēr tā saka, ka Linux, kas ir Google serveri palaišanai ir TCP loga izmērs 5720. Pēc ātras interneta meklēšanas pēc IP adreses jūs redzēsiet, ka tas faktiski ir Google serveris.
Ko vēl lietojat tshark.exe par, pastāstiet mums komentāros.