28Aug
Да ли сте знали да можете сазнати који оперативни систем умрежени уређај ради само гледајући како комуницира на мрежи?Хајде да погледамо како можемо да откријемо који оперативни систем ради на нашим уређајима.
Зашто бисте то урадили?
Одређивање оперативног система који уређај или уређај покреће може бити корисно из више разлога.Најпре погледамо свакодневну перспективу, замислите да желите да пређете на новог интернет провајдера који нуди неквалификовани интернет за 50 долара месечно, па ћете пробати њихову услугу.Користећи отиске прстију оперативног система, ускоро ћете открити да имају рутере за отпад и понуди ПППоЕ услугу која се нуди на гомили Виндовс Сервера 2003 машина.Не звучи више као добар посао, а?
Друга употреба за ово, иако није тако етичка, је чињеница да су сигурносне рупе специфичне за ОС.На пример, урадите скенирање порта и отворите порт 53 и машина има застарело и рањиву верзију Бинд-а, имате СИНГЛЕ шансу да искористите сигурносну рупу јер неуспјешни покушај пада на демон.
Како функционише отисак прста на оперативном систему?
Када вршите пасивну анализу тренутног саобраћаја или чак и гледате старе податке за снимање пакета, један од најлакших и ефикасних начина рада отиска прстију је једноставно гледајући величину ТЦП прозора и Тиме То Ливе( ТТЛ) у ИП заглављупрви пакет у ТЦП сесији.
Ево вредности за популарније оперативне системе:
| Оперативни систем | Вријеме за живот | Величина прозора ТЦП |
| Линук( Кернел 2.4 и 2.6) | 64 | 5840 |
| Гоогле Линук | 64 | 5720 |
| ФрееБСД | 64 | 65535 |
| Виндовс КСП | 128 | 65535 |
| Виндовс Виста и 7( Сервер 2008) | 128 | 8192 |
| иОС12.4( Цисцо Роутерс) | 255 | 4128 |
Главни разлог да оперативни системи имају различите вредности је због чињенице да РФЦ-ови за ТЦП / ИП не одређују подразумеване вредности.Друга важна ствар коју треба запамтити је да се вредност ТТЛ не може увијек подударати са једним у табели, чак и ако ваш уређај ради на једном од наведених оперативних система, видите када шаљете ИП пакет преко мреже на оперативни систем слања уређајапоставља ТТЛ на подразумевани ТТЛ за тај ОС, али пошто пакет прелази рутере, ТТЛ се смањује за 1. Стога, ако видите ТТЛ од 117, може се очекивати да буде пакет који је послат са ТТЛ од 128 ипрешао је 11 рутера пре него што су били заробљени.
Користећи тсхарк.еке је најлакши начин да видите вредности тако да када имате пакет за снимање, проверите да ли сте инсталирали Виресхарк, а затим идите на:
Ц: \ Програм Филес \
Сада држите дугме за померање и кликните десним тастером мишана фасцикли жице и одаберите отворени командни прозор овде из контекстног менија
Сада тип:
тсхарк -р "Ц: \ Усерс \ Таилор Гибб \ Десктоп \ блах.пцап" "тцп.флагс.син ек 1" -Т поља -е ип.срц -е ип.ттл -е тцп.виндов_сизе
Уверите се да замените "Ц: \ Усерс \ Таилор Гибб \ Десктоп \ блах.пцап" са апсолутном путањом за снимање пакета.Једном када удјете у ентер ће вам бити приказани сви СИН пакети из вашег хватања лакши за читање табличног формата
Сада ово је случајно снимање пакета који сам направио од мене повезивање са Хов-То Геек сајтом, међу свим другим човјечањима које Виндовс радиМогу вам сигурно рећи две ствари:
- Моја локална мрежа је 192.168.0.0/24
- Ја сам на Виндовс 7 бок
Ако погледате прву линију табеле видећете да не лажем, моја ИП адреса је192.168.0.84 мој ТТЛ је 128, а моја прозорска величина ТЦП-а је 8192, која се поклапа са вредностима за Виндовс 7.
Следећа ствар коју видим је адреса 74.125.233.24 са ТТЛ од 44 и ТЦП Виндов Сизе од 5720,ако погледам на мој сто нема оперативног система са ТТЛ-ом од 44, међутим каже се да Линук који сервери на Гооглеу имају ТЦП 5720 прозора. После брзог претраживања ИП адресе, видећете да је тозаправо Гоогле сервер.
За шта још користите тсхарк.еке, реците нам у коментарима.