通过简单的ping命令,查看返回的TTL值来判断对方的操作系统
生存时间(TTL)是IP分组中的一个值,网络中的路由器通过察看这个值就可以判断这个IP分组是不是已经在网络中停留了很久,进而决定是否要将其丢弃。出于多种原因,一个IP分组可能在很长一段时间内不能抵达目的地。例如:错误的路由有可能导致一个IP分组在网络中无限地循环。一种解决方法就是在一定时间后丢弃这个分组,然后发送一个信息通知这个分组的发送者,由它决定是否重发这个分组。TTL的初始值一般是系统缺省值,它位于IP分组的头部,占用8个二进制位。最初设定TTL值的目的是,让它来指定一段特定的时间(以秒为单位),当这段时间耗尽的时候就将这个分组丢弃。由于每个路由器至少会让这个TTL值减一,所以这个TTL只经常用来指定在一个分组被丢弃之前允许经过的路由器数。每个路由器收到一个分组后就将它的TTL 值减一,一旦这个值被减为0,路由器就会丢弃这个分组,并发送一个ICMP信息给这个分组的最初的发送者。
UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32
注:ICMP报文的类型包括如下:
ECHO (Request (Type 8), Reply (Type 0))--回显应答,
Time Stamp (Request (Type 13), Reply (Type 14))--时间戳请求和应答,
Information (Request (Type 15), Reply (Type16))--信息请求和应答,
Address Mask (Request (Type 17), Reply (Type 18))--地址掩码请求和应答等
不同的操作系统,它的TTL值是不相同的。默认情况下:
Linux系统的TTL值为64或255,
Windows NT/2000/XP系统的TTL值为128,
Windows 98系统的TTL值为32,
UNIX主机的TTL值为255。
公司使用的是多数为Windows 2000服务器,TTL值默认为128,如果将该值修改为255,攻击者可能会以为这个服务器是Linux系统或UNIX系统,那么他们就会针对Linux系统或UNIX系统来查找Windows 2000服务器的安全漏洞,不过他们是不会找到什么安全漏洞的,这样一来,服务器相来说增加了安全性。
具体实现方法:
修改TTL值其实非常简单,通过注册表编辑器就可以实现,点击“开始→运行”,在“运行”对话框中输入“regedit”命令并回车,弹出
“注册表编辑器”对话框,展开“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpip Parameters”,找到“DefaultTTL”,将该值修改为十进制的“255”,重新启动服务器系统后即可。
最新内容请见作者的GitHub页:http://qaseven.github.io/
