in

Empreinte digitale du système d’exploitation avec tailles de fenêtre TTL et TCP

Saviez-vous que vous pouvez découvrir quel système d’exploitation un périphérique en réseau exécute simplement en regardant la façon dont il communique sur le réseau? Voyons comment nous pouvons découvrir le système d’exploitation utilisé par nos appareils.

Pourquoi voudriez-vous faire cela?

Déterminer quel système d’exploitation une machine ou un périphérique exécute peut être utile pour de nombreuses raisons. Jetons d’abord un coup d’œil à une perspective quotidienne, imaginons que vous souhaitiez passer à un nouveau FAI qui propose un accès Internet non plafonné pour 50 $ par mois afin que vous essayiez son service. En utilisant les empreintes digitales du système d’exploitation, vous découvrirez bientôt qu’ils ont des routeurs de déchets et offrent un service PPPoE offert sur un tas de machines Windows Server 2003. Ça ne sonne plus comme une si bonne affaire, hein?

Une autre utilisation de cela, bien que pas si éthique, est le fait que les failles de sécurité sont spécifiques au système d’exploitation. Par exemple, vous effectuez une analyse de port et trouvez le port 53 ouvert et la machine exécute une version obsolète et vulnérable de Bind, vous avez une SEULE chance d’exploiter la faille de sécurité car une tentative infructueuse ferait planter le démon.

Comment fonctionne l’empreinte digitale du système d’exploitation?

Lorsque vous effectuez une analyse passive du trafic actuel ou même si vous examinez d’anciennes captures de paquets, l’un des moyens les plus simples et les plus efficaces de faire une empreinte digitale du système d’exploitation consiste simplement à regarder la taille de la fenêtre TCP et le temps de vie (TTL) dans l’en-tête IP du premier. paquet dans une session TCP.

Voici les valeurs des systèmes d’exploitation les plus courants:

Système opérateur Temps de vivre Taille de la fenêtre TCP
Linux (Kernel 2.4 et 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Windows XP 128 65535
Windows Vista et 7 (Server 2008) 128 8192
iOS 12.4 (routeurs Cisco) 255 4128

La principale raison pour laquelle les systèmes d’exploitation ont des valeurs différentes est due au fait que les RFC pour TCP / IP ne stipulent pas de valeurs par défaut. Une autre chose importante à retenir est que la valeur TTL ne correspondra pas toujours à une dans le tableau, même si votre appareil exécute l’un des systèmes d’exploitation répertoriés, vous voyez lorsque vous envoyez un paquet IP sur le réseau le système d’exploitation du périphérique d’envoi définit le TTL sur le TTL par défaut pour ce système d’exploitation, mais au fur et à mesure que le paquet traverse les routeurs, le TTL est abaissé de 1. Par conséquent, si vous voyez un TTL de 117, on peut s’attendre à ce qu’il s’agisse d’un paquet qui a été envoyé avec un TTL de 128 et a traversé 11 routeurs avant d’être capturé.

L’utilisation de tshark.exe est le moyen le plus simple de voir les valeurs.Une fois que vous avez une capture de paquet, assurez-vous que Wireshark est installé, puis accédez à:

C: Program Files

Maintenant, maintenez le bouton Maj enfoncé et cliquez avec le bouton droit sur le dossier WireShark et sélectionnez ouvrir la fenêtre de commande ici dans le menu contextuel

sshot-2

Tapez maintenant:

tshark -r "C:UsersTaylor GibbDesktopblah.pcap" "tcp.flags.syn eq 1" -T fields -e ip.src -e ip.ttl -e tcp.window_size

Assurez-vous de remplacer «C: Users Taylor Gibb Desktop blah.pcap» par le chemin absolu vers votre capture de paquets. Une fois que vous appuyez sur Entrée, vous verrez tous les paquets SYN de votre capture dans un format de table plus facile à lire

Maintenant, c’est une capture de paquet aléatoire que j’ai faite de ma connexion au site Web How-To Geek, parmi tous les autres bavardages que Windows fait, je peux vous dire deux choses à coup sûr:

  • Mon réseau local est 192.168.0.0/24
  • Je suis sur une boîte Windows 7

Si vous regardez la première ligne du tableau, vous verrez que je ne mens pas, mon adresse IP est 192.168.0.84, mon TTL est de 128 et ma taille de fenêtre TCP est de 8192, ce qui correspond aux valeurs de Windows 7.

La prochaine chose que je vois est une adresse 74.125.233.24 avec un TTL de 44 et une taille de fenêtre TCP de 5720, si je regarde ma table, il n’y a pas de système d’exploitation avec un TTL de 44, mais cela dit que le Linux que les serveurs de Google run ont une taille de fenêtre TCP 5720. Après avoir effectué une recherche rapide sur le Web de l’adresse IP, vous verrez qu’il s’agit en fait d’un serveur Google.

sshot-4

Pour quoi d’autre utilisez-vous tshark.exe, dites-nous dans les commentaires.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment forcer la fermeture d’une application sur Apple Watch

Comment sauvegarder vos comptes de médias sociaux - Facebook, Twitter, Google+ et Instagram

Comment sauvegarder vos comptes de médias sociaux – Facebook, Twitter, Google+ et Instagram