Tiesitkö, että voit selvittää, mikä verkko-operaattorin käyttöjärjestelmä on käytössä vain katsomalla tapaa, jolla se viestii verkossa? Katsotaanpa, kuinka voimme selvittää, millä käyttöjärjestelmällä laitteet ovat käynnissä.
Määrätyn koneen tai laitteen käyttöjärjestelmän käyttö voi olla hyödyllistä useista syistä. Ensinnäkin voit tarkastella jokapäiväistä perspektiiviä, kuvitella, että haluat siirtyä uuteen Internet-palveluntarjoajaan, joka tarjoaa avoimen verkon 50 dollaria kuukaudessa, jotta voit kokeilla palvelunne. Käyttämällä OS-sormenjälkitoimintoa huomaat pian, että niillä on roskia reitittimet ja tarjoavat PPPoE-palvelua, joka on tarjolla Windows Server 2003 -koneiden joukossa. Etkö enää kuulosta niin hyvältä, vai mitä?
Toinen käyttö tähän, vaikkakaan ei niin eettinen, on se, että tietoturva-aukot ovat OS-ominaisuuksia. Esimerkiksi teet porttiratkaisun ja portti 53 on auki ja koneessa on vanhentunut ja haavoittuva Bind-versio, sinulla on ONGELMA mahdollisuus käyttää tietoturva-aukkoa, koska epäonnistunut yritys epäonnistuu.
Kun teet passiivisen analyysin nykyisestä liikenteestä tai jopa katsot vanhoja pakettien kaappauksia, yksi helpoimmista ja tehokkaimmista tapoista tehdä OS-sormenjälkikirjoitus on yksinkertaisesti tarkastelemalla TCP-ikkunan kokoa ja Time To Live (TTL) ensimmäisen IP-otsikon paketti TCP-istunnossa.
Tässä ovat suosittujen käyttöjärjestelmien arvot:
Käyttöjärjestelmä | Aika elää | TCP-ikkunan koko |
Linux (Kernel 2.4 ja 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista ja 7 (palvelin 2008) | 128 | 8192 |
iOS 12.4 (Ciscon reitittimet) | 255 | 4128 |
Tärkein syy siihen, että käyttöjärjestelmillä on erilaiset arvot johtuu siitä, että RFC: n TCP / IP: lle ei määrätä oletusarvoja. Muista muista tärkeistä seikoista on se, että TTL-arvo ei aina vastaa yhtä taulukossa, vaikka laite olisi käynnissä jollakin luetelluista käyttöjärjestelmistä, näet, kun lähetät IP-paketin verkossa lähettävän laitteen käyttöjärjestelmään asettaa TTL: n kyseiselle käyttöjärjestelmälle oletusarvon mukaiseksi TTL: ksi, mutta kun paketti läpäisee reitittimet, TTL lasketaan 1: llä. Tästä syystä, jos näet TTL: n 117, tämän voidaan olettaa olevan paketti, joka lähetettiin TTL: llä 128 ja on kulkenut 11 reitittimeen ennen kaappaamista.
Tshark.exe-tiedoston käyttäminen on helpoin tapa nähdä arvot niin, kun olet saanut paketin kaappauksen, varmista, että sinulla on Wireshark asennettuna ja siirry seuraavaan osoitteeseen:
C: \ Ohjelmatiedostot \
Nyt pidä siirtopainiketta ja napsauta hiiren kakkospalkki hiiren kakkospainikkeella ja valitse pikavalikosta avattava komentoikkuna
Kirjoita nyt:
tshark -r "C: \ Käyttäjät \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T kentät -e ip.src -e ip.ttl -e tcp.window_size
Varmista, että korvataan "C: \ Käyttäjät \ Taylor Gibb \ Desktop \ blah.pcap" paketin kaappauksen ehdottomalla polulla. Kun painat Enter-näppäintä, näytetään kaikki SYN-paketit kaappauksesta, jonka avulla on helpompi lukea taulukkomuoto
Nyt tämä on satunnainen pakettien kaappaus, jonka tein minusta yhteyden How-To Geek -verkkosivustolle, kaikkien muiden juttujen joukossa. Windows tekee. Voin kertoa kahdesta asiasta varmasti:
Jos katsot taulukon ensimmäistä riviä näet, etten valehtele, IP-osoite on 192.168.0.84, minun TTL on 128 ja TCP-ikkuna-koko on 8192, joka vastaa Windows 7: n arvoja.
Seuraavaksi näen 74.125.233.24-osoitteen, jossa on TTL 44 ja TCP-ikkunan koko 5720, jos katson pöytään, ei ole käyttöjärjestelmää, jonka TTL on 44, mutta se sanoo, että Linux, joka Googlen palvelimet TCP-ikkunan koko 5720. Kun olet suorittanut IP-osoitteen nopean verkkohakun, näet, että se on itse asiassa Google-palvelin.
Mitä muuta käytät tshark.exe: lle, kerro meille kommentit.