Miksi teit tämän?
Määrätyn koneen tai laitteen käyttöjärjestelmän käyttö voi olla hyödyllistä useista syistä. Ensinnäkin voit tarkastella jokapäiväistä perspektiiviä, kuvitella, että haluat siirtyä uuteen Internet-palveluntarjoajaan, joka tarjoaa avoimen verkon 50 dollaria kuukaudessa, jotta voit kokeilla palvelunne. Käyttämällä OS-sormenjälkitoimintoa huomaat pian, että niillä on roskia reitittimet ja tarjoavat PPPoE-palvelua, joka on tarjolla Windows Server 2003 -koneiden joukossa. Etkö enää kuulosta niin hyvältä, vai mitä?
Toinen käyttö tähän, vaikkakaan ei niin eettinen, on se, että tietoturva-aukot ovat OS-ominaisuuksia. Esimerkiksi teet porttiratkaisun ja portti 53 on auki ja koneessa on vanhentunut ja haavoittuva Bind-versio, sinulla on ONGELMA mahdollisuus käyttää tietoturva-aukkoa, koska epäonnistunut yritys epäonnistuu.
Kuinka käyttöjärjestelmä sormenjälki toimii?
Kun teet passiivisen analyysin nykyisestä liikenteestä tai jopa katsot vanhoja pakettien kaappauksia, yksi helpoimmista ja tehokkaimmista tapoista tehdä OS-sormenjälkikirjoitus on yksinkertaisesti tarkastelemalla TCP-ikkunan kokoa ja Time To Live (TTL) ensimmäisen IP-otsikon paketti TCP-istunnossa.
Tässä ovat suosittujen käyttöjärjestelmien arvot:
| Käyttöjärjestelmä | Aika elää | TCP-ikkunan koko |
| Linux (Kernel 2.4 ja 2.6) | 64 | 5840 |
| Google Linux | 64 | 5720 |
| FreeBSD | 64 | 65535 |
| Windows XP | 128 | 65535 |
| Windows Vista ja 7 (palvelin 2008) | 128 | 8192 |
| iOS 12.4 (Ciscon reitittimet) | 255 | 4128 |
Tärkein syy siihen, että käyttöjärjestelmillä on erilaiset arvot johtuu siitä, että RFC: n TCP / IP: lle ei määrätä oletusarvoja. Muista muista tärkeistä seikoista on se, että TTL-arvo ei aina vastaa yhtä taulukossa, vaikka laite olisi käynnissä jollakin luetelluista käyttöjärjestelmistä, näet, kun lähetät IP-paketin verkossa lähettävän laitteen käyttöjärjestelmään asettaa TTL: n kyseiselle käyttöjärjestelmälle oletusarvon mukaiseksi TTL: ksi, mutta kun paketti läpäisee reitittimet, TTL lasketaan 1: llä. Tästä syystä, jos näet TTL: n 117, tämän voidaan olettaa olevan paketti, joka lähetettiin TTL: llä 128 ja on kulkenut 11 reitittimeen ennen kaappaamista.
Tshark.exe-tiedoston käyttäminen on helpoin tapa nähdä arvot niin, kun olet saanut paketin kaappauksen, varmista, että sinulla on Wireshark asennettuna ja siirry seuraavaan osoitteeseen:
C:Program Files
Nyt pidä siirtopainiketta ja napsauta hiiren kakkospalkki hiiren kakkospainikkeella ja valitse pikavalikosta avattava komentoikkuna
tshark -r 'C:UsersTaylor GibbDesktoplah.pcap' 'tcp.flags.syn eq 1' -T fields -e ip.src -e ip.ttl -e tcp.window_size
Varmista, että korvataan "C: Käyttäjät Taylor Gibb Desktop blah.pcap" paketin kaappauksen ehdottomalla polulla. Kun painat Enter-näppäintä, näytetään kaikki SYN-paketit kaappauksesta, jonka avulla on helpompi lukea taulukkomuoto
- Paikallinen verkko on 192.168.0.0/24
- Olen Windows 7 -laatikossa
Jos katsot taulukon ensimmäistä riviä näet, etten valehtele, IP-osoite on 192.168.0.84, minun TTL on 128 ja TCP-ikkuna-koko on 8192, joka vastaa Windows 7: n arvoja.
Seuraavaksi näen 74.125.233.24-osoitteen, jossa on TTL 44 ja TCP-ikkunan koko 5720, jos katson pöytään, ei ole käyttöjärjestelmää, jonka TTL on 44, mutta se sanoo, että Linux, joka Googlen palvelimet TCP-ikkunan koko 5720. Kun olet suorittanut IP-osoitteen nopean verkkohakun, näet, että se on itse asiassa Google-palvelin.
