駭客極客:作業系統指紋與ttl和tcp視窗大小
你知道嗎,你可以透過檢視一個聯網裝置在網路上的通訊方式來找出它執行的是哪個作業系統?讓我們看看如何發現我們的裝置執行的是什麼作業系統。
你為什麼要這麼做?
確定機器或裝置執行的作業系統有許多原因都是有用的。首先讓我們看看一個日常的視角,想象一下你想換一個新的ISP,這個ISP每月提供50美元的未加封頂的網際網路,所以你可以試用他們的服務。透過使用作業系統指紋,您很快就會發現它們有垃圾路由器,並提供了一個PPPoE服務,提供在一堆Windows Server 2003機器上。聽起來不算什麼好了,哈?
另一個用途,儘管不是那麼道德,但事實上安全漏洞是特定於作業系統的。例如,您執行埠掃描並查詢埠53開啟,並且計算機正在執行過時且易受攻擊的繫結版本,您只有一次機會利用安全漏洞,因為失敗的嘗試將導致守護程序崩潰。
作業系統指紋是如何工作的?
在對當前流量進行被動分析,甚至檢視舊的資料包捕獲時,最簡單、有效的作業系統指紋識別方法之一就是簡單地檢視TCP會話中第一個資料包的IP報頭中的TCP視窗大小和生存時間(TTL)。
以下是更流行的作業系統的值:
| 作業系統 | 活下去的時間 | 引數 |
| Linux(核心2.4和2.6) | 64 | 5840 |
| 谷歌Linux | 64 | 5720 |
| FreeBSD公司 | 64 | 65535 |
| Windows XP作業系統 | 128 | 65535 |
| Windows Vista和7(Server 2008) | 128 | 8192 |
| iOS 12.4(Cisco路由器) | 255 | 4128 |
作業系統具有不同值的主要原因是,用於TCP/IP的RFC沒有規定預設值。要記住的另一個重要事項是,TTL值並不總是與表中的值匹配,即使您的裝置正在執行列出的作業系統之一,您也會看到,當您透過網路傳送IP資料包時,傳送裝置的作業系統會將TTL設定為該作業系統的預設TTL,但當資料包穿過路由器時TTL降低1。因此,如果您看到TTL為117,則可以預期這是使用TTL為128傳送的資料包,並且在被捕獲之前已經遍歷了11個路由器。
使用tshark.exe檔案是檢視值的最簡單方法,因此一旦獲得資料包捕獲,請確保已安裝Wireshark,然後導航到:
C:\Program Files\
現在按住shift鍵並右鍵單擊wireshark資料夾,然後從關聯選單中選擇“在此處開啟命令視窗”
現在鍵入:
tshark -r "C:\Users\Taylor Gibb\Desktop\blah.pcap" "tcp.flags.syn eq 1" -T fields -e ip.src -e ip.ttl -e tcp.window_size
確保替換“C:\Users\Taylor Gibb\Desktop”\廢話.pcap“與您的資料包捕獲的絕對路徑。一旦你點選回車鍵,你將看到所有的SYN資料包從你的捕獲一個更容易閱讀的表格格式
現在這是一個隨機的資料包捕獲,我連線到How to Geek網站,在所有其他聊天視窗正在做的事情中,我可以肯定地告訴你兩件事:
- 我的區域網是192.168.0.0/24
- 我在Windows7上
如果您查看錶的第一行,您會發現我沒有說謊,我的IP地址是192.168.0.84我的TTL是128,我的TCP視窗大小是8192,這與Windows 7的值相匹配。
接下來我看到的是一個74.125.233.24地址,TTL為44,TCP視窗大小為5720,如果我檢視我的表,沒有TTL為44的作業系統,但是它確實說Google伺服器執行的Linux有一個TCP視窗大小為5720。在對IP地址進行快速的網路搜尋之後,您將看到它實際上是一個Google伺服器。
你還用什麼tshark.exe檔案例如,請在評論中告訴我們。
- 發表於 2021-04-12 15:15
- 閱讀 ( 33 )
- 分類:網際網路
你可能感興趣的文章
android 6.0棉花糖(android 6.0 marshmallow)和android 7.0牛軋糖(android 7.0 nougat)的區別
...id7.0nougat的主要區別在於androidnougat具有改進早期版本移動作業系統的功能。雖然作業系統的外觀和感覺不會有太大的變化,但升級是在幕後完成的。讓我們仔細看看這個新作業系統帶來的升級。 android 7.0 nougat評論-新功能 android7....
使用第三方dns伺服器更安全的4個原因
... 媒體經常報道DoS攻擊,公眾對其有了更好的瞭解。駭客利用他們直接大量的流量到一個網站使用偽造的源IP地址。有問題的網站通常無法訪問。 ...
是時候嘗試一些新的東西了:初級的os loki
基本作業系統不是典型的Linux發行版。有人會說它根本不是發行版。Elementary的開發人員將他們的產品定位為Windows和macOS的免費開放替代品。 ...
最適合建立、收集、儲存和共享的7款iphone gif應用程式
... elementaryOS與其他基於Linux的作業系統不太一樣。雖然從技術上講,它並不是所有的引擎蓋下不同,它感覺像一個拋光和獨特的替代品。初級團隊定期宣告,大多數下載來自使用Windows或macOS的使用者。...
如何像chromebooks上的專業人士一樣多工:8個技巧和竅門
谷歌希望用一個表面上看起來像是網路瀏覽器的作業系統來取代你的電腦。但是當你想完成工作時,你需要那些桌面級的多工工具,並且可以在多個應用程式和視窗之間輕鬆切換。 ...
如何在linux上使用traceroute命令
...資料包轟炸未知裝置,並且要小心在指令碼或無人参與的作業中包含traceroute。 負載跟蹤路由可能會對網路效能產生不利影響。除非您處於“現在就修復”的情況,否則您可能希望在正常工作時間之外使用它。
如何使用ping命令測試網路
...監聽回聲返回。在計算機網路上,ping工具內建在大多數作業系統中,它們的工作方式基本相同。您可以發出ping命令以及特定的URL或IP地址。您的計算機向該裝置傳送多個資訊包,然後等待響應。當收到響應時,ping工具會顯示每...
如何在不下載任何其他軟體的情況下管理windows上的分割槽
...管理工具方面做得很好,但它確實存在。 相關:初學者極客:硬碟分割槽解釋 您可以使用磁碟管理工具來調整分割槽和卷的大小、建立、刪除和格式化分割槽和卷,以及更改它們的驅動器號,而無需下載或購買任何其他軟體。 ...
如何縮小virtualbox虛擬機器並釋放磁碟空間
...您可以使用隱藏命令手動收縮動態磁碟。 相關:初學者極客:如何建立和使用虛擬機器 請記住,這隻會縮小磁碟,如果它的大小增長,你已經刪除了資料。所以,如果你只是建立了一個動態磁碟,這不會縮小它。但是,如果您...
分割槽驅動器時,gpt和mbr有什麼區別?
...分割槽”,並在裡面建立邏輯分割槽。這是一個愚蠢的小駭客,不應該是必要的。 相關:FAT32、exFAT和NTFS之間有什麼區別? gpt的優勢 GPT代表GUID分割槽表。這是一個逐漸取代MBR的新標準。它與UEFI相關,UEFI用更現代的東西取代了...
