Хацкер Геек ОС Фингерпринтинг са ТТЛ и ТЦП Виндов Сизес
Да ли сте знали да можете сазнати који оперативни систем ради умрежени уређај само гледајући начин на који комуницира на мрежи? Погледајмо како можемо открити који оперативни систем раде наши уређаји.
Зашто бисте то учинили?
Одређивање ОС-а који машина или уређај ради може бити корисно из више разлога. Прво да погледамо свакодневну перспективу, замислите да желите да се пребаците на новог ИСП-а који нуди неповезани интернет за 50 долара месечно, тако да можете да пробате њихове услуге. Користећи ОС отисак прстију ускоро ћете открити да имају рутере за смеће и нуде ПППоЕ услугу која се нуди на хрпи Виндовс Сервер 2003 машина. Не звучи више тако добро, ха?
Још једна употреба за ово, иако не толико етичка, је чињеница да су сигурносне рупе специфичне за ОС. На пример, скенирање портова и проналажење порта 53 отвореног, а машина покреће застарелу и рањиву верзију Бинд-а, имате СИНГЛЕ шансу да искористите сигурносну рупу од неуспелог покушаја слома демона.
Како функционише ОС отисак прста?
Када радите пасивну анализу тренутног саобраћаја или чак гледате старе пакете, један од најједноставнијих начина за обављање ОС Фингерпринтинг је једноставно гледање величине ТЦП прозора и Тиме То Ливе (ТТЛ) у ИП заглављу првог пакет у ТЦП сесији.
Ево вредности за популарније оперативне системе:
| Оперативни систем | Време је да живим | Величина прозора ТЦП |
| Линук (кернел 2.4 и 2.6) | 64 | 5840 |
| Гоогле Линук | 64 | 5720 |
| ФрееБСД | 64 | 65535 |
| Виндовс хр | 128 | 65535 |
| Виндовс Виста и 7 (Сервер 2008) | 128 | 8192 |
| иОС 12.4 (Цисцо рутери) | 255 | 4128 |
Главни разлог што оперативни системи имају различите вредности је због чињенице да РФЦ за ТЦП / ИП не прописује подразумеване вредности. Друга важна ствар коју треба запамтити је да ТТЛ вредност неће увек одговарати једној у табели, чак и ако ваш уређај покреће један од наведених оперативних система, видите када шаљете ИП пакет преко мреже оперативни систем уређаја који шаље уређај поставља ТТЛ на подразумевани ТТЛ за тај ОС, али пошто пакет прелази рутере, ТТЛ се спушта на 1. Стога, ако видите ТТЛ од 117 то се може очекивати да буде пакет који је послан са ТТЛ од 128 и прешао 11 рутера пре него што је ухваћен.
Употреба тсхарк.еке је најлакши начин да видите вредности тако да када добијете пакет, проверите да ли сте инсталирали Виресхарк, а затим идите на:
Ц: Програм Филес \ т
Сада држите дугме Схифт и кликните десним тастером миша на фасциклу виресхарк и изаберите прозор команде овде из контекстног менија
Сада укуцајте:
тсхарк -р "Ц: Корисници Таилор Гибб Десктоп-а блах.пцап" "тцп.флагс.син ек 1" -Т поља -е ип.срц -е ип.ттл -е тцп.виндов_сизе
Побрините се да замијените “Ц: Корисници Таилор Гибб Десктоп блах.пцап” с апсолутном путањом до вашег пакета. Једном када притиснете Ентер, биће вам приказани сви СИН пакети из вашег снимања, лакши за читање табеларног формата
Сада је ово случајно снимање пакета које сам направио од мене повезујући се са Хов-То Геек Вебситеом, међу осталим другим гласинама које Виндовс ради могу вам рећи две ствари:
- Моја локална мрежа је 192.168.0.0/24
- Ја сам на Виндовс 7 кутији
Ако погледате прву линију табеле видећете да не лажем, моја ИП адреса је 192.168.0.84 мој ТТЛ је 128 и мој ТЦП прозор величине је 8192, што одговара вредностима за Виндовс 7.
Следећа ствар коју видим је 74.125.233.24 адреса са ТТЛ-ом од 44 и ТЦП Виндов Сизе од 5720, ако погледам своју табелу, нема ОС-а са ТТЛ-ом од 44, међутим он каже да је Линук који Гооглеови сервери покрените ТЦП Виндов Сизе 5720. Након брзог веб претраживања ИП адресе видјет ћете да је то заправо Гоогле сервер.
За шта још користите тсхарк.еке, реците нам у коментарима.
