Hacker Geek OS Fingerprinting Dengan Ukuran Jendela TTL dan TCP

Tahukah Anda bahwa Anda dapat mengetahui sistem operasi yang dijalankan perangkat jaringan hanya dengan melihat cara komunikasi di jaringan? Mari kita lihat bagaimana kita dapat menemukan sistem operasi apa yang sedang dijalankan oleh perangkat kita.

Mengapa Anda Melakukan Ini??

Menentukan OS apa yang dijalankan mesin atau perangkat dapat bermanfaat karena berbagai alasan. Pertama, mari kita lihat perspektif sehari-hari, bayangkan Anda ingin beralih ke ISP baru yang menawarkan internet yang belum dibuka seharga $ 50 sebulan sehingga Anda mengikuti uji coba layanan mereka. Dengan menggunakan sidik jari OS, Anda akan segera mengetahui bahwa mereka memiliki router sampah dan menawarkan layanan PPPoE yang ditawarkan pada banyak mesin Windows Server 2003. Tidak terdengar seperti hal yang baik lagi, ya?

Kegunaan lain untuk ini, meskipun tidak terlalu etis, adalah kenyataan bahwa lubang keamanan adalah OS spesifik. Misalnya, Anda melakukan pemindaian port dan menemukan port 53 terbuka dan mesin menjalankan versi Bind yang ketinggalan zaman dan rentan, Anda memiliki kesempatan TUNGGAL untuk mengeksploitasi lubang keamanan karena upaya yang gagal akan merusak daemon.

Bagaimana Cara Kerja Sidik Jari OS?

Saat melakukan analisis pasif terhadap lalu lintas saat ini atau bahkan melihat tangkapan paket lama, salah satu cara termudah, efektif, untuk melakukan OS Fingerprinting adalah dengan hanya melihat ukuran jendela TCP dan Time To Live (TTL) di header IP pertama. paket dalam sesi TCP.

Berikut adalah nilai untuk sistem operasi yang lebih populer:

Alasan utama bahwa sistem operasi memiliki nilai yang berbeda adalah karena fakta bahwa RFC untuk TCP / IP tidak menetapkan nilai standar. Hal penting lain yang perlu diingat adalah bahwa nilai TTL tidak akan selalu cocok dengan satu di tabel, bahkan jika perangkat Anda menjalankan salah satu sistem operasi yang terdaftar, Anda melihat ketika Anda mengirim paket IP melintasi jaringan sistem operasi perangkat pengirim menetapkan TTL ke TTL default untuk OS itu, tetapi ketika paket melintasi router TTL diturunkan oleh 1. Oleh karena itu, jika Anda melihat TTL dari 117 ini dapat diharapkan menjadi paket yang dikirim dengan TTL 128 dan telah melintasi 11 router sebelum ditangkap.

Menggunakan tshark.exe adalah cara termudah untuk melihat nilai-nilai jadi setelah Anda mendapatkan paket capture, pastikan Anda memasang Wireshark, lalu arahkan ke:

C: \ Program Files \

Sekarang tahan tombol shift dan klik kanan pada folder wireshark dan pilih jendela perintah terbuka di sini dari menu konteks

Sekarang ketik:

tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T field -e ip.src -e ip.ttl -e tcp.window_size

Pastikan untuk mengganti "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" dengan jalur absolut ke tangkapan paket Anda. Setelah Anda menekan enter Anda akan ditampilkan semua paket SYN dari tangkapan Anda format tabel yang lebih mudah dibaca

Sekarang ini adalah pengambilan paket acak yang saya buat dari saya terhubung ke Situs Web How-To Geek, di antara semua obrolan lain yang dilakukan Windows, saya dapat memberi tahu Anda dua hal:

• Jaringan lokal saya adalah 192.168.0.0/24
• Saya menggunakan kotak Windows 7

Jika Anda melihat baris pertama dari tabel Anda akan melihat saya tidak berbohong, alamat IP saya 192.168.0.84 TTL saya adalah 128 dan Ukuran Jendela TCP saya adalah 8192, yang cocok dengan nilai-nilai untuk Windows 7.

Hal berikutnya yang saya lihat adalah alamat 74.125.233.24 dengan TTL 44 dan TCP Window Ukuran 5720, jika saya melihat meja saya tidak ada OS dengan TTL 44, namun dikatakan bahwa Linux adalah server Google run have a TCP Window Ukuran 5720. Setelah melakukan pencarian web cepat dari alamat IP Anda akan melihat bahwa itu sebenarnya Google Server.

Untuk apa lagi Anda menggunakan tshark.exe, beri tahu kami di komentar.