Hacker Geek Fingerprinting με το μέγεθος TTL και TCP παραθύρων
Γνωρίζατε ότι μπορείτε να μάθετε ποιο λειτουργικό σύστημα εκτελεί μια δικτυακή συσκευή μόνο κοιτάζοντας τον τρόπο που επικοινωνεί στο δίκτυο; Ας ρίξουμε μια ματιά στο πώς μπορούμε να ανακαλύψουμε ποιο λειτουργικό σύστημα λειτουργούν οι συσκευές μας.
Γιατί θα το κάνατε αυτό?
Ο καθορισμός του λειτουργικού συστήματος που λειτουργεί μια μηχανή ή συσκευή μπορεί να είναι χρήσιμο για πολλούς λόγους. Κατ 'αρχάς αφήστε να ρίξετε μια ματιά σε μια καθημερινή προοπτική, φανταστείτε ότι θέλετε να μεταβείτε σε έναν νέο ISP που προσφέρει uncapped internet για $ 50 το μήνα, ώστε να κάνετε μια δοκιμή της υπηρεσίας τους. Με τη χρήση του δακτυλικού αποτυπώματος του OS θα ανακαλύψετε σύντομα ότι έχουν δρομολογητές σκουπιδιών και προσφέρουν μια υπηρεσία PPPoE που προσφέρεται σε μια δέσμη των Windows Server 2003 μηχανών. Δεν ακούγεται σαν μια τέτοια καλή, πια?
Μια άλλη χρήση για αυτό, αν και όχι τόσο ηθική, είναι το γεγονός ότι οι τρύπες ασφαλείας είναι ειδικές για το λειτουργικό σύστημα. Για παράδειγμα, κάνετε σάρωση θύρας και εντοπίσετε την θύρα 53 ανοιχτή και το μηχάνημα τρέχει μια ξεπερασμένη και ευάλωτη έκδοση του Bind, έχετε μια SINGLE ευκαιρία να εκμεταλλευτείτε την τρύπα ασφαλείας, επειδή μια αποτυχημένη προσπάθεια θα έπληττε τον δαίμονα.
Πώς λειτουργεί το Fingerprinting του OS?
Όταν κάνετε παθητική ανάλυση της τρέχουσας επισκεψιμότητας ή ακόμα και κοιτάζοντας παλιές συλλήψεις πακέτων, ένας από τους ευκολότερους, αποτελεσματικούς τρόπους για να κάνετε το Fingerprinting OS είναι απλά να κοιτάξετε το μέγεθος του παραθύρου TCP και Time To Live (TTL) στην κεφαλίδα IP του πρώτου πακέτου σε μια περίοδο σύνδεσης TCP.
Ακολουθούν οι τιμές για τα δημοφιλέστερα λειτουργικά συστήματα:
| Λειτουργικό σύστημα | Ωρα να ζήσω | Μέγεθος παραθύρου TCP |
| Linux (πυρήνας 2.4 και 2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Τα Windows Vista και 7 (Server 2008) | 128 | 8192 |
| iOS 12.4 (δρομολογητές Cisco) | 255 | 4128 |
Ο κύριος λόγος για τον οποίο τα λειτουργικά συστήματα έχουν διαφορετικές τιμές οφείλεται στο γεγονός ότι οι RFC για το TCP / IP δεν ορίζουν τις προεπιλεγμένες τιμές. Ένα άλλο σημαντικό πράγμα που πρέπει να θυμάστε είναι ότι η τιμή TTL δεν θα ταιριάζει πάντα με έναν στον πίνακα, ακόμα και αν η συσκευή σας εκτελεί ένα από τα αναφερόμενα λειτουργικά συστήματα, βλέπετε όταν στέλνετε ένα πακέτο IP στο δίκτυο, το λειτουργικό σύστημα της συσκευής αποστολής ορίζει το TTL στο προεπιλεγμένο TTL για το συγκεκριμένο λειτουργικό σύστημα, αλλά καθώς το πακέτο διασχίζει τους δρομολογητές, το TTL μειώνεται κατά 1. Συνεπώς, αν δείτε TTL 117, αυτό μπορεί να αναμένεται να είναι ένα πακέτο που στάλθηκε με TTL 128 έχει διασχίσει 11 δρομολογητές προτού καταγραφεί.
Η χρήση του tshark.exe είναι ο ευκολότερος τρόπος για να δείτε τις τιμές, οπότε μόλις λάβετε μια δέσμευση πακέτων, βεβαιωθείτε ότι έχετε εγκαταστήσει το Wireshark και στη συνέχεια περιηγηθείτε στο:
C: \ Program Files \
Τώρα κρατήστε πατημένο το κουμπί shift και κάντε δεξί κλικ στο φάκελο wireshark και επιλέξτε ανοιχτό παράθυρο εντολών εδώ από το μενού περιβάλλοντος
Τώρα πληκτρολογήστε:
tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -Τ πεδία -ε ip.src -e ip.ttl -e tcp.window_size
Βεβαιωθείτε ότι αντικαταστήσατε το "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" με την απόλυτη πορεία προς τη δέσμευσή σας. Αφού πατήσετε το πλήκτρο Enter, θα εμφανιστούν όλα τα πακέτα SYN από τη λήψη σας, μια ευκολότερη να διαβαστεί μορφή πίνακα
Τώρα είναι μια τυχαία σύλληψη πακέτων που έκανα από εμένα συνδεόμενο με τον ιστοχώρο How-To Geek, μεταξύ όλων των άλλων Windows που κάνει chatter μπορώ να σας πω δύο πράγματα σίγουρα:
- Το τοπικό μου δίκτυο είναι 192.168.0.0/24
- Είμαι σε ένα κουτί των Windows 7
Αν κοιτάξετε την πρώτη γραμμή του πίνακα θα δείτε ότι δεν είμαι ψέματα, η διεύθυνση IP μου είναι 192.168.0.84 το TTL μου είναι 128 και το TCP Window Μέγεθος μου είναι 8192, το οποίο ταιριάζει με τις τιμές για τα Windows 7.
Το επόμενο πράγμα που βλέπω είναι μια διεύθυνση 74.125.233.24 με TTL 44 και TCP Window Size 5720, αν κοιτάξω το τραπέζι μου δεν υπάρχει OS με TTL 44, ωστόσο λέει ότι το Linux που οι διακομιστές της Google εκτελέστε ένα μέγεθος παραθύρου TCP 5720. Αφού κάνετε μια γρήγορη αναζήτηση στο Web της διεύθυνσης IP, θα δείτε ότι είναι στην πραγματικότητα ένας διακομιστής Google.
Τι άλλο χρησιμοποιείτε για tshark.exe για, πείτε μας στα σχόλια.
