2022 01 21 通過TTL值判斷系統型別

通過ttl值判斷是什麼系統：

ttl（time to live，生存時間）是ip協議包中的乙個值，當我們使用ping命令進行網路連通測試或者是測試網速的時候，本地計算機會向目的主機傳送資料報，但是有的資料報會因為一些特殊的原因不能正常傳送到目的主機，如果沒有設定ttl值的話，資料報會一直在網路上面傳送，浪費網路資源。資料報在傳送的時候至少會經過乙個以上的路由器，當資料報經過乙個路由器的時候，ttl就會自動減1，如果減到0了還是沒有傳送到目的主機，那麼這個資料報就會自動丟失，這時路由器會傳送乙個icmp報文給最初的傳送者。

例如：如果乙個主機的ttl是64，那麼當它經過64個路由器後還沒有將資料報傳送到目的主機的話，那麼這個資料報就會自動丟棄。

不同的作業系統的預設ttl值是不同的，所以我們可以通過ttl值來判斷主機的作業系統，但是當使用者修改了ttl值的時候，就會誤導我們的判斷，所以這種判斷方式也不一定準確。

下面是預設作業系統的ttl：

1、windows nt/2000 ttl：128

2、windows 95/98 ttl：32

3、unix ttl：255

4、linux ttl：64

5、win7 ttl：64

從ttl值，我們可以大致判斷主機的資料報經過多少個路由器到達目的主機，那麼我們如何知道它經過了哪些路由器，從ttl的值可以看出主機的資料報經過64-59=5個路由器到達目的主機，那麼如何確認經過5個路由器的這個數值是正確的呢？使用cmd命令裡面的tracert命令來檢視。

通過修改本機上的ttl值可以混淆攻擊者的判斷（當然，很少有使用者會這麼做）。ttl值在登錄檔的位置是：hkey_local_machine\system\currentcontrolset\services\tcpip\parameters （通過在cmd命令裡面輸入：regedit，然後回車的方式可以開啟登錄檔）。其中有個defaultttl的dword值，其資料就是預設的ttl值了，我們可以修改defaultttl裡面的ttl預設值，但不能大於十進位制的255。

操作步驟:

1.開啟「記事本」程式，編寫批處理命令:

@echo regedit4>>changettl.reg

@echo.>>changettl.reg

@echo [hkey_local_machlne\system\currentcontrolset\services\tcpi\parameters]

>>changettl.reg

@echo "defaultttl"=dword:000000">>changettl.reg

@regedit /s/c changettl.reg

2.把編好的程式另存為以.bat為副檔名的批處理檔案，點選這個檔案，你的作業系統的預設ttl值就會被修改為ff，即 10進製的255，也就是說把你的作業系統人為地改為unix系統了。同時，在該檔案所在的資料夾下會生成乙個名為 changettl.reg 的登錄檔檔案。如果你想執行完這個批處理檔案而不產生changettl.reg檔案，可以在此批處理檔案的最後一行加上 deltree/y changettl.reg，就可以無須確認自動刪除changettl.reg檔案。

說明:在上面的命令中，echo是dos下的回顯命令，如果想看到程式執行過程，請將「@」去掉。「> >」產生的內容將追加到它後面的檔案即changettl.reg中。而「defaultttl"=dword?000000ff」則是用來設定系統預設ttl 值的，如果你想將自己的作業系統的ttl值改為其他作業系統的 icmp回顯應答值，請改變「"defaultttl"」的鍵值，要注意將對應作業系統的ttl值改為十六進製制才可以。

這樣，當入侵者ping你的機器時，他得到的就是乙個假的ttl值，這個假的ttl值就會誤導對方，使入侵者的判斷出現失誤，因為針對不同的作業系統的入侵方法並不一樣，所以用這個方法欺騙對方，可以讓他摸不著頭腦。

如果使用dos命令去ping某**，提示請求超時，原因可能是這個**有硬體檢測防禦系統來防止ddos攻擊。

使用cmd命令：systeminfo

如果系統有打補丁的話，我們可以把系統的補丁與我們自己的提權補丁進行比對，通過系統沒有的提權補丁來進行系統提權。

2022 01 21 通過TTL值判斷系統型別

100 通過zookeeper面試

OCA 052 通過總結

05 通過docker安裝tomcat

2022 01 21 通過TTL值判斷系統型別

100 通過zookeeper面試

OCA 052 通過總結

05 通過docker安裝tomcat

相關推薦