Page d'accueil » comment » Empreinte digitale de Hacker Geek OS avec les tailles de fenêtre TTL et TCP

    Empreinte digitale de Hacker Geek OS avec les tailles de fenêtre TTL et TCP

    Saviez-vous que vous pouvez déterminer le système d'exploitation utilisé par un périphérique en réseau simplement en regardant la façon dont il communique sur le réseau? Voyons comment nous pouvons découvrir le système d'exploitation utilisé par nos appareils..

    Pourquoi voudriez-vous faire cela?

    Déterminer quel système d'exploitation une machine ou un périphérique est en cours d'exécution peut être utile pour de nombreuses raisons. Tout d’abord, examinons une perspective quotidienne et imaginons que vous souhaitiez passer à un nouveau fournisseur de services Internet proposant un accès Internet non plafonné à 50 $ par mois, ce qui vous permet de tester son service. En utilisant les empreintes de système d’exploitation, vous découvrirez bientôt qu’ils disposent de routeurs de déchets et offrent un service PPPoE proposé sur de nombreux ordinateurs Windows Server 2003. Ça ne ressemble plus à une bonne affaire, hein?

    Une autre utilisation, bien que pas aussi éthique, est que les failles de sécurité sont spécifiques à un système d’exploitation. Par exemple, si vous recherchez un port et que le port 53 est ouvert et que la machine exécute une version obsolète et vulnérable de Bind, vous avez une chance unique d’exploiter le trou de sécurité puisqu’une tentative infructueuse ferait planter le démon..

    Comment fonctionne la prise d'empreinte de système d'exploitation?

    Lors de l'analyse passive du trafic actuel ou même lors de la saisie d'anciennes captures de paquets, l'un des moyens les plus simples et les plus efficaces de réaliser une empreinte de système d'exploitation consiste simplement à examiner la taille de la fenêtre TCP et la durée de vie (TTL) dans l'en-tête IP du premier. paquet dans une session TCP.

    Voici les valeurs pour les systèmes d'exploitation les plus populaires:

    Système opérateur Temps de vivre Taille de la fenêtre TCP
    Linux (noyau 2.4 et 2.6) 64 5840
    Google Linux 64 5720
    FreeBSD 64 65535
    Windows XP 128 65535
    Windows Vista et 7 (Server 2008) 128 8192
    iOS 12.4 (routeurs Cisco) 255 4128

    La principale raison pour laquelle les systèmes d'exploitation ont des valeurs différentes est due au fait que les RFC pour TCP / IP ne stipulent pas de valeurs par défaut. Une autre chose importante à garder à l'esprit est que la valeur TTL ne correspond pas toujours à une valeur du tableau, même si votre périphérique exécute l'un des systèmes d'exploitation répertoriés, vous voyez lorsque vous envoyez un paquet IP sur le réseau le système d'exploitation du périphérique émetteur. définit le TTL sur le TTL par défaut pour ce système d'exploitation, mais au fur et à mesure que le paquet traverse les routeurs, la durée de vie est réduite de 1. Par conséquent, si vous voyez une durée de vie de 117, vous pouvez vous attendre à un paquet envoyé avec une durée de vie de 128 et a traversé 11 routeurs avant d'être capturé.

    Tshark.exe est le moyen le plus simple de voir les valeurs. Une fois que vous avez capturé un paquet, assurez-vous que Wireshark est installé, puis accédez à:

    C: \ Program Files \

    Maintenant, maintenez le bouton Shift enfoncé, cliquez avec le bouton droit sur le dossier WireShark et sélectionnez Ouvrir la fenêtre de commande ici dans le menu contextuel.

    Maintenant tapez:

    tshark -r "C: \ Utilisateurs \ Taylor Gibb \ Bureau \ blah.pcap" "tcp.flags.syn eq 1" -T champs -e ip.src -e ip.ttl -e tcp.window_size

    Assurez-vous de remplacer “C: \ Utilisateurs \ Taylor Gibb \ Desktop \ blah.pcap” par le chemin absolu de votre capture de paquets. Une fois que vous avez appuyé sur Entrée, tous les paquets SYN de votre capture s’afficheront dans un format de tableau plus facile à lire.

    Maintenant, il s’agit d’une capture de paquets aléatoire que j’ai faite en me connectant au site Web How-To Geek. Parmi tous les autres bavardages que Windows fait, je peux vous dire deux choses à coup sûr:

    • Mon réseau local est 192.168.0.0/24
    • Je suis sous Windows 7

    Si vous regardez la première ligne du tableau, vous verrez que je ne mens pas, mon adresse IP est 192.168.0.84 mon TTL est 128 et ma taille de fenêtre TCP est 8192, ce qui correspond aux valeurs de Windows 7..

    La prochaine chose que je vois est une adresse 74.125.233.24 avec une durée de vie de 44 et une taille de fenêtre TCP de 5720, si je regarde ma table, il n’existe aucun système d’exploitation avec une durée de vie de 44, mais il est dit que les serveurs Linux que Google exécutez une taille de fenêtre TCP 5720. Après une recherche rapide sur le Web de l’adresse IP, vous verrez qu’il s’agit en fait d’un serveur Google..

    Pour quoi d'autre utilisez-vous tshark.exe, dites-nous dans les commentaires.