האקר חנון OS Fingerprinting עם TTL ו TCP חלון גדלים
האם ידעת שאתה יכול לגלות איזו מערכת הפעלה מכשיר רשת פועל רק על ידי התבוננות איך זה מתקשר ברשת? בואו נסתכל כיצד נוכל לגלות מה מערכת ההפעלה שלנו התקנים פועלים.
למה שתעשה את זה?
קביעת מערכת ההפעלה שבה מכונה או התקן פועלת יכולה להיות שימושית מסיבות רבות. ראשית מאפשר להסתכל על פרספקטיבה היומיום, לדמיין אתה רוצה לעבור לספק שירותי אינטרנט חדש המציע uncaped אינטרנט עבור $ 50 לחודש אז אתה לוקח משפט השירות שלהם. באמצעות טביעת אצבע OS אתה בקרוב לגלות שיש להם נתבים אשפה להציע שירות PPPoE הציע על חבורה של Windows Server 2003 מכונות. ללא שם: לא נשמע יותר כמו עסקה טובה יותר, נכון?
שימוש נוסף לכך, אם כי לא כל כך מוסרי, היא העובדה כי חורי אבטחה ספציפיים OS. לדוגמה, אתה מבצע סריקת יציאה ומצא את היציאה 53 פתוחה והמכונה מפעילה גרסה מיושנת ופגיעה של Bind, יש לך הזדמנות יחידה לנצל את חור האבטחה, שכן ניסיון כושל ינפץ את הדמון.
איך עובד OS Fingerprinting?
כאשר עושים ניתוח פסיבי של התנועה הנוכחית או אפילו מסתכל על מנות הישן לוכדת, אחת הקלה, יעילה, דרכים לעשות OS Fingerprinting היא פשוט מסתכל על גודל חלון TCP ו זמן לחיות (TTL) בכותרת ה- IP של הראשון מנות בהפעלת TCP.
להלן הערכים עבור מערכות ההפעלה הפופולרית יותר:
מערכת הפעלה | זמן לחיות | גודל חלון TCP |
לינוקס (Kernel 2.4 ו -2.6) | 64 | 5840 |
לינוקס | 64 | 5720 |
חינם | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista ו- 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (נתבי Cisco) | 255 | 4128 |
הסיבה העיקרית לכך שלמערכות ההפעלה יש ערכים שונים נובעת מכך שה- RFC של TCP / IP אינו קובע ערכי ברירת מחדל. דבר חשוב נוסף שיש לזכור הוא שהערך TTL לא תמיד יתאים לאחד מהטבלה, גם אם המכשיר שלך מפעיל אחת ממערכות ההפעלה המפורטות, תראה בעת שליחת מנות IP ברשת באמצעות מערכת ההפעלה של המכשיר השולח קובעת את TTL ל- TTL המוגדר כברירת המחדל עבור מערכת ההפעלה הזו, אך כאשר החבילה חוצה נתבים, TTL מוריד ב -1. לכן, אם אתה רואה TTL של 117, ניתן לצפות כי זו מנות שנשלחה עם TTL של 128 ו- חצה 11 נתבים לפני שנלכד.
באמצעות tshark.exe היא הדרך הקלה ביותר לראות את הערכים אז ברגע שיש לך ללכוד מנות, ודא שיש לך מותקן Wireshark, ואז לנווט אל:
C: \ Program Files \
עכשיו החזק את כפתור המשמרת ולחץ באמצעות לחצן העכבר הימני על התיקיה wireshark ובחר חלון פקודה פתח כאן מתוך תפריט ההקשר
עכשיו הקלד:
tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T שדות- ip.src -e ip.ttl -e tcp.window_size
הקפד להחליף את "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" עם הנתיב המוחלט ללכידת מנות שלך. ברגע שאתה מכה להיכנס אתה תוצג כל מנות SYN מ ללכוד שלך קל יותר לקרוא את פורמט השולחן
עכשיו זה מנות אקראי ללכוד עשיתי ממני להתחבר לאתר How-To Geek, בין כל הפטפוטים האחרים של Windows עושה אני יכול להגיד לך שני דברים בוודאות:
- הרשת המקומית שלי היא 192.168.0.0/24
- אני על תיבת Windows 7
אם אתה מסתכל על השורה הראשונה של הטבלה תראה אני לא משקר, כתובת ה- IP שלי הוא 192.168.0.84 TTL שלי הוא 128 ו TCP שלי גודל החלון הוא 8192, אשר תואם עד ערכים עבור Windows 7.
הדבר הבא שאני רואה הוא כתובת 74.125.233.24 עם TTL של 44 ו TCP חלון גודל של 5720, אם אני מסתכל על השולחן שלי אין מערכת הפעלה עם TTL של 44, אולם הוא אומר כי לינוקס כי השרתים של גוגל לרוץ יש גודל חלון TCP 5720. לאחר ביצוע חיפוש מהיר באינטרנט של כתובת ה- IP תראה כי זה למעשה שרת Google.
מה עוד אתה משתמש tshark.exe עבור, לספר לנו את ההערות.