TTL और TCP विंडो आकार के साथ हैकर Geek OS फ़िंगरप्रिंटिंग
क्या आप जानते हैं कि आप यह पता लगा सकते हैं कि नेटवर्क जिस ऑपरेटिंग सिस्टम पर चल रहा है, उसे किस तरह से देख रहा है? आइए एक नज़र डालें कि हम कैसे पता लगा सकते हैं कि हमारे उपकरण किस ऑपरेटिंग सिस्टम पर चल रहे हैं.
तुम यह क्यों करोगे?
यह निर्धारित करना कि ओएस एक मशीन या उपकरण क्या चल रहा है, कई कारणों से उपयोगी हो सकता है। पहले आपको रोज़मर्रा के दृष्टिकोण पर एक नज़र डालते हैं, कल्पना करें कि आप एक नए आईएसपी पर स्विच करना चाहते हैं जो $ 50 प्रति माह के लिए अनकैप्ड इंटरनेट प्रदान करता है ताकि आप उनकी सेवा का परीक्षण कर सकें। OS फ़िंगरप्रिंटिंग का उपयोग करके आप जल्द ही पता लगा लेंगे कि उनके पास रबिश राउटर हैं और Windows Server 2003 मशीनों के एक समूह पर पीपीपीओई सेवा की पेशकश की गई है। अब इस तरह के एक अच्छे सौदे की आवाज नहीं है, हुह?
इसके लिए एक और उपयोग, हालांकि यह इतना नैतिक नहीं है, तथ्य यह है कि सुरक्षा छेद ओएस विशिष्ट हैं। उदाहरण के लिए, आप एक पोर्ट स्कैन करते हैं और पोर्ट 53 को खुला पाते हैं और मशीन बिंद का पुराना और कमजोर संस्करण चला रहा है, आपके पास सुरक्षा छेद का दोहन करने का एक मौका है क्योंकि विफल प्रयास से डेमॉन क्रैश हो जाएगा.
ओएस फिंगरप्रिंटिंग कैसे काम करता है?
वर्तमान ट्रैफ़िक का निष्क्रिय विश्लेषण करते समय या पुराने पैकेट कैप्चर को देखते हुए, OS फिंगरप्रिंटिंग करने के सबसे आसान, प्रभावी तरीकों में से एक, टीसीपी विंडो के आकार और टाइम टू लाइव (TTL) को पहले के IP हेडर में देखना है। एक टीसीपी सत्र में पैकेट.
यहां अधिक लोकप्रिय ऑपरेटिंग सिस्टम के लिए मान दिए गए हैं:
ऑपरेटिंग सिस्टम | जीने के लिए समय | टीसीपी विंडो का आकार |
लिनक्स (कर्नेल 2.4 और 2.6) | 64 | 5840 |
Google लिनक्स | 64 | 5,720 |
FreeBSD | 64 | 65535 |
विंडोज एक्स पी | 128 | 65535 |
विंडोज विस्टा और 7 (सर्वर 2008) | 128 | 8192 |
iOS 12.4 (सिस्को राउटर्स) | 255 | 4128 |
ऑपरेटिंग सिस्टम के भिन्न मान होने का मुख्य कारण इस तथ्य के कारण है कि RFC TCP / IP के लिए डिफ़ॉल्ट मानों को निर्धारित नहीं करता है। याद रखने वाली अन्य महत्वपूर्ण बात यह है कि TTL मान हमेशा तालिका में एक से मेल नहीं खाएगा, भले ही आपका डिवाइस सूचीबद्ध ऑपरेटिंग सिस्टमों में से एक चल रहा हो, आप देखते हैं कि आप नेटवर्क पर एक आईपी पैकेट भेजते हैं, जो डिवाइस के ऑपरेटिंग सिस्टम को भेजता है। टीटीएल को उस ओएस के लिए डिफ़ॉल्ट टीटीएल पर सेट करता है, लेकिन जैसे ही पैकेट ट्रैवर्स रूट टीटीएल 1. से कम होता है, इसलिए, यदि आप 117 के टीटीएल को देखते हैं, तो यह एक पैकेट होने की उम्मीद की जा सकती है जो 128 के टीटीएल के साथ भेजा गया था और कब्जा करने से पहले 11 राउटर का पता लगाया है.
Tshark.exe का उपयोग करना मानों को देखने का सबसे आसान तरीका है ताकि एक बार आपको एक पैकेट पर कब्जा मिल जाए, सुनिश्चित करें कि आपके पास Wireshark स्थापित है, फिर इस पर नेविगेट करें:
C: \ Program Files \
अब शिफ्ट बटन को दबाए रखें और वायरशर्क फ़ोल्डर पर राइट-क्लिक करें और संदर्भ मेनू से यहां ओपन कमांड विंडो चुनें
अब टाइप करें:
tshark -r "C: \ Users \ टेलर Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T फ़ील्ड्स -e ip.src -e ip.ttl -e tcp -window_size
अपने पैकेट कैप्चर के पूर्ण पथ के साथ "C: \ Users \ टेलर Gibb \ Desktop \ blah.pcap" को बदलना सुनिश्चित करें। एक बार जब आप हिट दर्ज करते हैं, तो आपको अपने कैप्चर से सभी SYN पैकेट दिखाए जाएंगे जो तालिका प्रारूप को पढ़ने में आसान है
अब यह एक रैंडम पैकेट कैप्चर है जिसे मैंने अपने साथ मिलकर हाउ-टू गीक वेबसाइट से जोड़ा है, सभी अन्य चैटर विंडोज़ के बीच मैं यह कर रहा हूं कि मैं आपको दो चीजें बता सकता हूं:
- मेरा स्थानीय नेटवर्क 192.168.0.0/24 है
- मैं विंडोज 7 बॉक्स पर हूं
यदि आप तालिका की पहली पंक्ति को देखते हैं तो आप देखेंगे कि मैं झूठ नहीं बोल रहा हूं, मेरा आईपी पता 192.168.0.84 है मेरा टीटीएल 128 है और मेरी टीसीपी विंडो का आकार 8192 है, जो विंडोज 7 के मूल्यों से मेल खाता है.
मेरे द्वारा देखी जाने वाली अगली चीज़ 44 के TTL के साथ 74.125.233.24 पता और 5720 की एक टीसीपी विंडो साइज़ है, अगर मैं अपनी टेबल को देखता हूँ तो 44 के TTL के साथ कोई OS नहीं है, हालाँकि यह कहता है कि लिनक्स में Google का सर्वर है रन में एक टीसीपी विंडो का आकार 5720 है। आईपी पते की त्वरित वेब खोज करने के बाद आप देखेंगे कि यह वास्तव में एक Google सर्वर है.
आप और किस लिए tshark.exe का उपयोग करते हैं, हमें टिप्पणियों में बताएं.