Hacker Geek: OS-Fingerabdrücke mit TTL- und TCP-Fenstergrößen

Wussten Sie, dass Sie herausfinden können, unter welchem ​​Betriebssystem ein Netzwerkgerät ausgeführt wird, indem Sie sich die Art und Weise ansehen, wie es über das Netzwerk kommuniziert? Mal sehen, wie wir herausfinden können, welches Betriebssystem unsere Geräte verwenden.

Warum willst du das tun?

Das Bestimmen, auf welchem ​​Betriebssystem eine Maschine oder ein Gerät ausgeführt wird, kann aus vielen Gründen hilfreich sein. Lassen Sie uns zunächst einen Blick auf die tägliche Perspektive werfen und sagen, Sie möchten ein Upgrade auf einen neuen ISP durchführen, der für 50 US-Dollar pro Monat einen unbegrenzten Internetzugang bietet, damit Sie dessen Service ausprobieren können. Wenn Sie den Fingerabdruck des Betriebssystems verwenden, werden Sie bald feststellen, dass sie über Junk-Router verfügen und PPPoE-Dienste anbieten, die auf einer Reihe von Windows Server 2003-Computern angeboten werden. Das klingt nicht mehr nach so viel, oder?

Eine andere Verwendung davon, obwohl nicht so ethisch, ist, dass die Sicherheitslücken spezifisch für das Betriebssystem sind. Wenn Sie beispielsweise einen Port-Scan durchführen und feststellen, dass Port 53 geöffnet ist und auf dem Computer eine veraltete und anfällige Version von Bind ausgeführt wird, haben Sie NUR EINE Chance, die Sicherheitslücke auszunutzen, da ein erfolgloser Versuch den Daemon zum Absturz bringen würde.

Wie funktioniert der Fingerabdruck des Betriebssystems?

Wenn Sie eine passive Analyse des aktuellen Datenverkehrs durchführen oder sogar alte Paketerfassungen betrachten, besteht eine der einfachsten und effektivsten Möglichkeiten, einen Fingerabdruck des Betriebssystems zu erfassen, darin, einfach die Größe des Betriebssystems, das TCP-Fenster und die Lebensdauer zu betrachten (TTL) im IP-Header des ersten. Paket in einer TCP-Sitzung.

Hier sind die Werte der gängigsten Betriebssysteme:

Betriebssystem Zeit zu leben TCP-Fenstergröße
Linux (Kernel 2.4 und 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Windows XP 128 65535
Windows Vista und 7 (Server 2008) 128 8192
iOS 12.4 (Routeurs Cisco) 255 4128

Der Hauptgrund dafür, dass Betriebssysteme unterschiedliche Werte haben, liegt darin, dass die RFCs für TCP / IP keine Standardwerte festlegen. Ein weiterer wichtiger Punkt ist, dass der TTL-Wert nicht immer mit einem in der Tabelle übereinstimmt, selbst wenn auf Ihrem Gerät eines der aufgelisteten Betriebssysteme ausgeführt wird. Wenn Sie ein IP-Paket über das Netzwerk senden, sehen Sie, wie das System funktioniert Sendegerät. Setzt die TTL auf die Standard-TTL für dieses Betriebssystem. Wenn das Paket jedoch die Router durchläuft, wird die TTL um 1 gesenkt. Wenn Sie also eine TTL von 117 sehen, können Sie davon ausgehen, dass es sich um ein Paket handelt, das mit einer TTL gesendet wurde von 128 und durchlief 11 Router, bevor er erfasst wurde.

verbunden :  So finden Sie Ihr Telefon mit dem Google-Assistenten

Die Verwendung von tshark.exe ist der einfachste Weg, um die Werte anzuzeigen. Wenn Sie eine Paketerfassung durchgeführt haben, stellen Sie sicher, dass Wireshark installiert ist, und navigieren Sie zu:

C: Programme

Halten Sie nun die Umschalttaste gedrückt, klicken Sie mit der rechten Maustaste auf den WireShark-Ordner und wählen Sie hier im Kontextmenü das Befehlsfenster öffnen

Geben Sie nun Folgendes ein:

tshark -r "C:UsersTaylor GibbDesktopblah.pcap" "tcp.flags.syn eq 1" -T fields -e ip.src -e ip.ttl -e tcp.window_size

Stellen Sie sicher, dass “C: Benutzer Taylor Gibb Desktop blah.pcap” durch den absoluten Pfad zum Erfassen Ihrer Pakete ersetzt wird. Sobald Sie die Eingabetaste drücken, werden alle SYN-Pakete in Ihrer Erfassung in einem besser lesbaren Tabellenformat angezeigt

Dies ist eine zufällige Paketerfassung, die ich von meinem Login auf der How-To Geek-Website aus gemacht habe. Neben all den anderen Chatter-Windows-Funktionen kann ich Ihnen zwei Dinge mit Sicherheit sagen:

  • Mein lokales Netzwerk ist 192.168.0.0/24
  • Ich bin auf einer Windows 7-Box

Wenn Sie sich die erste Zeile der Tabelle ansehen, werden Sie sehen, dass ich nicht lüge, meine IP-Adresse ist 192.168.0.84, meine TTL ist 128 und meine TCP-Fenstergröße ist 8192, was den Werten in Windows entspricht 7.

Als nächstes sehe ich eine Adresse 74.125.233.24 mit einer TTL von 44 und einer TCP-Fenstergröße von 5720. Wenn ich mir meine Tabelle anschaue, gibt es kein Betriebssystem mit einer TTL von 44, aber dies besagt, dass das Linux, das die Server von Google ausführen, vorhanden ist Eine Fenstergröße von TCP 5720. Nachdem Sie eine schnelle Websuche nach der IP-Adresse durchgeführt haben, werden Sie feststellen, dass es sich tatsächlich um einen Google-Server handelt.

Wofür verwenden Sie tshark.exe noch? Sagen Sie es uns in den Kommentaren.

Moyens Staff
Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.
We would like to show you notifications for the latest news and updates.
Dismiss
Allow Notifications