तुम यह क्यों करोगे?
यह निर्धारित करना कि मशीन या डिवाइस किस ओएस चल रहा है, कई कारणों से उपयोगी हो सकता है। सबसे पहले एक दैनिक परिप्रेक्ष्य पर नज़र डालें, कल्पना करें कि आप एक नए आईएसपी पर स्विच करना चाहते हैं जो एक महीने में $ 50 के लिए अनसुलझा इंटरनेट प्रदान करता है ताकि आप उनकी सेवा का परीक्षण कर सकें। ओएस फिंगरप्रिंटिंग का उपयोग करके आप जल्द ही पता लगाएंगे कि उनके पास कचरा राउटर हैं और विंडोज सर्वर 2003 मशीनों के समूह पर एक पीपीपीओई सेवा प्रदान करते हैं। अब इतना अच्छा सौदा नहीं लगता है, हुह?
इसके लिए एक और उपयोग, यद्यपि इतना नैतिक नहीं है, यह तथ्य है कि सुरक्षा छेद ओएस विशिष्ट हैं। उदाहरण के लिए, आप एक पोर्ट स्कैन करते हैं और पोर्ट 53 खुला पाते हैं और मशीन बाइंड का पुराना और कमजोर संस्करण चला रही है, आपके पास सुरक्षा छेद का फायदा उठाने का एक सिंगल मौका है क्योंकि एक असफल प्रयास डेमॉन को क्रैश करेगा।
ओएस फिंगरप्रिंटिंग कैसे काम करता है?
वर्तमान यातायात के निष्क्रिय विश्लेषण या पुराने पैकेट कैप्चर को देखते समय, ओएस फिंगरप्रिंटिंग करने के सबसे आसान, प्रभावी, तरीकों में से एक बस आईसी हेडर में टीसीपी विंडो आकार और टाइम टू लाइव (टीटीएल) को देखकर है एक टीसीपी सत्र में पैकेट।
अधिक लोकप्रिय ऑपरेटिंग सिस्टम के लिए मूल्य यहां दिए गए हैं:
ऑपरेटिंग सिस्टम | जीने के लिए समय | टीसीपी विंडो आकार |
लिनक्स (कर्नेल 2.4 और 2.6) | 64 | 5840 |
Google लिनक्स | 64 | 5720 |
FreeBSD | 64 | 65535 |
विंडोज एक्स पी | 128 | 65535 |
विंडोज विस्टा और 7 (सर्वर 2008) | 128 | 8192 |
आईओएस 12.4 (सिस्को रूटर) | 255 | 4128 |
ऑपरेटिंग सिस्टम के अलग-अलग मानों का मुख्य कारण इस तथ्य के कारण है कि टीएफसी / आईपी के लिए आरएफसी डिफ़ॉल्ट मान निर्धारित नहीं करता है। याद रखने की अन्य महत्वपूर्ण बात यह है कि टीटीएल मान हमेशा तालिका में से किसी एक से मेल नहीं खाएगा, भले ही आपका डिवाइस किसी सूचीबद्ध ऑपरेटिंग सिस्टम में से किसी एक को चला रहा हो, आप देखते हैं कि जब आप नेटवर्क पर आईपी पैकेट भेजते हैं तो डिवाइस की ऑपरेटिंग सिस्टम उस ओएस के लिए टीटीएल को डिफ़ॉल्ट टीटीएल में सेट करता है, लेकिन जैसे ही पैकेट राउटर को घुमाता है, टीटीएल 1 से कम हो जाता है। इसलिए, यदि आप 117 के टीटीएल देखते हैं तो यह 128 के टीटीएल के साथ भेजे गए एक पैकेट होने की उम्मीद की जा सकती है और कब्जा करने से पहले 11 राउटर चला गया है।
Tshark.exe का उपयोग करना मूल्यों को देखने का सबसे आसान तरीका है ताकि एक बार आपके पास पैकेट कैप्चर हो जाए, सुनिश्चित करें कि आपके पास वायरशर्क स्थापित है, फिर नेविगेट करें:
C:Program Files
अब शिफ्ट बटन दबाएं और वायरशर्क फ़ोल्डर पर राइट-क्लिक करें और संदर्भ मेनू से यहां खुली कमांड विंडो का चयन करें
tshark -r 'C:UsersTaylor GibbDesktoplah.pcap' 'tcp.flags.syn eq 1' -T fields -e ip.src -e ip.ttl -e tcp.window_size
अपने पैकेट कैप्चर के पूर्ण पथ के साथ "सी: उपयोगकर्ता टेलर गिब डेस्कटॉप blah.pcap" को प्रतिस्थापित करना सुनिश्चित करें। एक बार जब आप एंटर दबाएंगे तो आपको अपने कैप्चर से सभी एसईएन पैकेट दिखाए जाएंगे ताकि टेबल प्रारूप को पढ़ने में आसानी हो
- मेरा स्थानीय नेटवर्क 1 9 2.168.0.0/24 है
- मैं विंडोज 7 बॉक्स पर हूं
यदि आप तालिका की पहली पंक्ति को देखते हैं तो आप देखेंगे कि मैं झूठ नहीं बोल रहा हूं, मेरा आईपी पता 192.168.0.84 है मेरा टीटीएल 128 है और मेरा टीसीपी विंडो आकार 8192 है, जो विंडोज 7 के मानों से मेल खाता है।
अगली चीज़ जो मैं देखता हूं वह 74.125.233.24 पता है जिसमें 44 टीटीएल और 5720 का टीसीपी विंडो साइज है, यदि मैं अपनी टेबल देखता हूं तो 44 के टीटीएल के साथ कोई ओएस नहीं है, हालांकि यह कहता है कि लिनक्स जो Google के सर्वर रन में एक टीसीपी विंडो आकार 5720 है। आईपी पते की त्वरित वेब खोज करने के बाद आप देखेंगे कि यह वास्तव में एक Google सर्वर है।