Hacker Geek OS Fingerprinting con tamaños de ventana TTL y TCP

¿Sabía que puede averiguar qué sistema operativo está ejecutando un dispositivo en red simplemente observando la forma en que se comunica en la red? Echemos un vistazo a cómo podemos descubrir qué sistema operativo están ejecutando nuestros dispositivos.

Por qué harías esto?

Determinar qué sistema operativo está ejecutando una máquina o dispositivo puede ser útil por muchas razones. Primero echemos un vistazo a una perspectiva cotidiana, imagine que desea cambiar a un nuevo ISP que ofrece Internet sin límite por $ 50 al mes para que pruebe su servicio. Al utilizar la huella digital del sistema operativo, pronto descubrirá que tienen enrutadores de basura y ofrecen un servicio PPPoE ofrecido en un grupo de máquinas con Windows Server 2003. Ya no suena como una buena oferta, eh?

Otro uso para esto, aunque no tan ético, es el hecho de que los agujeros de seguridad son específicos del sistema operativo. Por ejemplo, realiza un escaneo de puertos y encuentra el puerto 53 abierto y la máquina está ejecutando una versión obsoleta y vulnerable de Bind, tiene una SOLA oportunidad de explotar el agujero de seguridad ya que un intento fallido podría bloquear al demonio.

¿Cómo funciona la huella dactilar OS?

Al hacer un análisis pasivo del tráfico actual o incluso mirar capturas de paquetes antiguos, una de las formas más fáciles y efectivas de hacer huellas digitales en el sistema operativo es simplemente mirar el tamaño de la ventana TCP y el Tiempo de vida (TTL) en el encabezado IP de la primera paquete en una sesión TCP.

Aquí están los valores para los sistemas operativos más populares:

La razón principal por la que los sistemas operativos tienen valores diferentes se debe a que los RFC para TCP / IP no estipulan valores predeterminados. Otra cosa importante a recordar es que el valor TTL no siempre coincidirá con uno en la tabla, incluso si su dispositivo está ejecutando uno de los sistemas operativos enumerados, verá que cuando envía un paquete IP a través de la red, el sistema operativo del dispositivo emisor. establece el TTL en el TTL predeterminado para ese sistema operativo, pero a medida que el paquete atraviesa los enrutadores, el TTL se reduce en 1. Por lo tanto, si ve un TTL de 117, puede esperarse que sea un paquete que se envió con un TTL de 128 y Ha recorrido 11 routers antes de ser capturado..

Usar tshark.exe es la forma más fácil de ver los valores, así que una vez que tenga una captura de paquetes, asegúrese de tener instalado Wireshark, luego navegue hasta:

C: \ Archivos de programa \

Ahora mantenga presionado el botón de cambio y haga clic con el botón derecho en la carpeta wireshark y seleccione abrir ventana de comandos aquí desde el menú contextual

Ahora escribe:

tshark -r "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" "tcp.flags.syn eq 1" -T campos -e ip.src -e ip.ttl -e tcp.window_size

Asegúrese de reemplazar "C: \ Users \ Taylor Gibb \ Desktop \ blah.pcap" con la ruta absoluta a la captura de paquetes. Una vez que pulse Intro, se le mostrarán todos los paquetes SYN de su captura y un formato de tabla más fácil de leer.

Ahora, esta es una captura de paquetes al azar que realicé al conectarme con el sitio web de How-To Geek, entre todas las otras conversaciones que Windows está haciendo, puedo decirles dos cosas con seguridad:

• Mi red local es 192.168.0.0/24
• Estoy en una caja de Windows 7

Si observa la primera línea de la tabla, verá que no estoy mintiendo, mi dirección IP es 192.168.0.84, mi TTL es 128 y el tamaño de mi ventana TCP es 8192, que coincide con los valores de Windows 7.

Lo siguiente que veo es una dirección 74.125.233.24 con un TTL de 44 y un tamaño de ventana de TCP de 5720, si miro mi tabla no hay un sistema operativo con un TTL de 44, sin embargo, dice que el Linux que los servidores de Google ejecute un tamaño de ventana TCP 5720. Después de realizar una búsqueda rápida en la dirección IP, verá que en realidad es un servidor de Google..

¿Para qué más usas tshark.exe? Cuéntanos en los comentarios..