Miks sa seda teed?
Määra kindlaks, milline OS masin või seade töötab, võib olla mitmel põhjusel kasulik. Esmalt saate vaadata igapäevast perspektiivi, kujutage ette, et soovite üle minna uuele Interneti-teenuse pakkujale, kes pakub internetipõhist internetti 50 eurot kuus, et saaksite oma teenust proovida. Operatsioonisüsteemide sõrmejälgede abil saate varsti teada, et neil on prügikontrollerid ja pakkuda PPPoE-teenust, mida pakutakse paljudele Windows Server 2003 masinatele. Äkki ei tundu enam selline palju, ah?
Selleks, kuigi mitte nii eetiliseks, on veel üks võimalus, et turvaaugud on OS-i konkreetsed. Näiteks teete porti, skannitakse ja avaneb port 53 ja masin töötab Bindi vananenud ja haavatavas versioonis, sul on JÄRELE võimalus turvaaugu kasutada, sest ebaõnnestunud katse peaks deemonit krahhima.
Kuidas toimib sõrmejälgede printimine OS?
Praeguse liikluse passiivse analüüsi tegemisel või isegi vanade pakettide lüüside vaatamisel on üks hõlpsamate ja efektiivsemate operatsioonisüsteemide sõrmejälgede tegemise viise lihtsalt vaadates TCP akna suurust ja esimest pakett TCP seansi ajal.
Siin on populaarsemate operatsioonisüsteemide väärtused:
Operatsioonisüsteem | Elada aeg | TCP akna suurus |
Linux (Kernel 2.4 ja 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista ja 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco ruuterid) | 255 | 4128 |
Peamine põhjus, miks operatsioonisüsteemidel on erinevad väärtused, tuleneb asjaolust, et RFC-d TCP / IP jaoks ei sätesta vaikimisi väärtusi. Teine oluline asi, mida meeles pidada, on see, et TTL-i väärtus ei vasta alati tabelis olevale ühele, isegi kui teie seade kasutab ühte loetletud operatsioonisüsteemidest, näete, kui saadate IP-paketi üle võrgu saatja seadme operatsioonisüsteemi seab TTL-i selle operatsioonisüsteemi vaikimisi TTL-i, kuid kui pakettaknad läbib marsruuterite, vähendab TTL-i 1-ga. Seega, kui näete TTL-numbrit 117, võib see olla pakett, mis saadeti TTL-iga 128-le ja on enne lüümist marssis 11 ruuterit.
Tshark.exe kasutamine on lihtsaim viis väärtuste nägemiseks, nii et kui olete paketivõtte saanud, veenduge, et olete installinud Wiresharki, seejärel liikuge järgmisele:
C:Program Files
Nüüd hoidke nihe nuppu ja paremklõpsake wiresharki kausta ja valige kontekstimenüüst siin avatud käsurea aken
tshark -r 'C:UsersTaylor GibbDesktoplah.pcap' 'tcp.flags.syn eq 1' -T fields -e ip.src -e ip.ttl -e tcp.window_size
Kindlasti asendage "C: Users Taylor Gibb Desktop blah.pcap" oma paketivõtmise absoluutse teega. Kui vajutad sisenemist, kuvatakse kõik teie SYN-paketid teie hõlpsalt lugemisvormingust
- Minu kohalik võrk on 192.168.0.0/24
- Olen Windows 7 kastis
Kui vaatate tabeli esimest rida, näete, et ma ei valeta, minu IP-aadress on 192.168.0.84, minu TTL on 128 ja minu TCP akna suurus on 8192, mis vastab Windows 7 väärtustele.
Järgmine asi, mida ma näen, on 74.125.233.24 aadress, kus TTL on 44 ja TCP akna suurus 5720, kui vaatan minu lauda, puudub operatsioonisüsteem TTLiga 44, kuid see ütleb, et Linux, mis on Google'i serverid käivitage TCP akna suurus 5720. Pärast IP-aadressi kiire veebiotsingu tegemist näete, et see on tegelikult Google'i server.