Hacking 101 - TTL Fingerprinting Pasivo

No Comments
Hoy veremos y comprenderemos sobre el fingerprinting de Sistemas Operativos en base a los TTL por lo tanto empezamos?


Esta entrada no sabía si armarla como una totalmente aparte o bien que se encuentre dentro de Hacking 101 asi que tras un poco de ver las cosas entro en la sección de hacking 101, muchas veces usamos la herramienta NMAP, o bien algún script de fingerprinting en el cual gran parte de las veces nos llama la atención identificar el Sistema Operativo para ver a que nos enfrentamos, por lo cual este método por decirlo asi para identificar un Sistema Operativo se basa en el TTL Time to Live (Tiempo de vida?) de la cabecera IP y el tamaño de TCP siendo estos variados en los diferentes SO por lo cual permite mediante un sniffeo o bien en vivo, identificar y analizar.

Porque tenemos diferentes TTL la razón a mas detalle puede revisar los siguientes RFC’S TCP y IP se tiene recomendaciones que debe de tener contando con uno por defecto para el TTL que es de 64 para IP y como en todo, no siguen la recomendación, entonces en base a las respuestas que nos da el TTL bien realizando un ping como en este caso o realizando el sniffeo de la red es posible determinar para ello tenemos referencias como la siguiente tabla.

Sistema OperativoTime To Live TCP Window Size
Linux (Kernel 2.4 and 2.6) 64 5840
Google Linux 64 5720
FreeBSD 64 65535
Windows XP 128 65535
Windows Vista and 7 (Server 2008) 128 8192
iOS 12.4 (Cisco Routers) 255 4128

Windows

Linux
Notaran que tenemos un Windows y un Linux, en una proxima entrada armaremos un script en Python, y para los que tengan algunas dudas de herramientas en una proxima entrada iremos sacando las herramientas para este objetivo.

Referencias:
Network Fingerprinting: TTL-Based Router Signatures

Fingerprinting Nmap

Regards,
Snifer

0 comentarios

Publicar un comentario en la entrada