troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

パケットキャプチャーから、通信相手のOS の種類を判断する方法

パケットキャプチャーから、通信相手のOS の種類を判断する方法を紹介します。

手順
1. パケットキャプチャーを行います。

2. 外套のTCP セッションを探します。

3. TCP セッションの最初のパケット (Syn パケット) の、TTL (Time To Live) とTCP Window Size の値を確認します。


4. OS ごとに、以下のTTL とTCP Window Size を持つことが報告されてます。

OS TTL Window Size (バイト)
Linux 2.4 and 2.6 64 5,840
Google customized Linux 64 5,720
Linux kernel 2.2 64 32,120
FreeBSD 64 65,635
OpenBSD, AIX 4.3 64 16,384
Windows 2000 128 16,384
Windows XP 128 65,535
Windows vista, 7, 8 128 8.192
Cisco Router IOS 12.4 255 4,128
Solaris 7 255 8,760
MAC 64 65,535

上記3 で確認した、TTL とTCP Window Size を比較し、通信相手のOS を判断します。
以下は、同じサブネットのWindows 7 から通信した際のTTL とWindow Size です。上記の表と合致していることがわかります。


一方、同じサブネットのCentOS 6.7 (kernel バージョン 2.6) から通信した際のTTL とWindow Size を確認してみました。

[root@*** tmp]# cat /etc/centos-release
CentOS release 6.7 (Final)
[root@*** tmp]# uname -r
2.6.32-573.18.1.el6.x86_64

上記の表と TTL はあっていましたが、Window Size が異なっておりました。



情報元
Packet Inspection for Unauthorized OS Detection in Enterprises (英語)

関連記事
コンソールしか持たないLinux のパケットキャプチャーの結果を、リモートからWireshark で確認
  1. 2016/07/13(水) 23:32:03|
  2. ネットワーク
  3. | トラックバック:0
  4. | コメント:0
<<強制終了できないプロセスの原因を、ダンプ / カーネルデバッグで調査 | ホーム | Linux 上の Node.js のアプリを Windows 上のVisual Studio からリモートデバッグ>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/297-3b6d5f61
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。