Rozpoznawanie systemu operacyjnego na podstawie TTL Time to Live to jedna z technik stosowanych w analizie pakietów sieciowych. TTL to wartość liczbowa zawarta w nagłówku pakietu IP, która określa, ile skoków (routerów) pakiet może wykonać, zanim zostanie odrzucony. Każdy router, przez który przechodzi pakiet, zmniejsza tę wartość o jeden.
W przypadku analizy TTL w celu rozpoznania systemu operacyjnego, różne systemy operacyjne mogą mieć różne domyślne wartości TTL dla wysyłanych pakietów. Należy jednak pamiętać, że nie jest to metoda absolutnie pewna, ponieważ administratorzy systemów mogą dostosowywać te wartości do własnych preferencji.
Przykładowo, popularne domyślne wartości TTL dla niektórych systemów operacyjnych to:
- Windows: 128
- Linux: 64
- macOS: 64
- Cisco iOS 255
Jeśli analizujesz pakiety sieciowe i zauważysz pewne stałe wartości TTL, możesz próbować wyciągać wnioski na temat używanego systemu operacyjnego. Jednak trzeba podkreślić, że istnieje wiele innych czynników, które mogą wpływać na wartość TTL, takie jak trasa pakietu przez sieć, ustawienia routingu czy korzystanie z narzędzi do zmiany wartości TTL.
Pamiętaj, że stosowanie tej metody może być ograniczone i nie zawsze będzie dokładne lub niezawodne.
Aby ustalić początkową wartość TTL, możesz skorzystać z narzędzi takich jak ping na różnych systemach. Na przykład, używając polecenia ping w systemie Windows:
ping 127.0.0.1W odpowiedzi otrzymasz raport z wartościami TTL. Przykładowo, jeśli pierwsza wartość TTL wynosi 128, można przypuszczać, że to może być system Windows. Jeśli wartość wynosi 64, to może być Linux lub macOS. Jednak ponownie, istnieje wiele czynników, które mogą wpływać na te wartości, i nie zawsze można jednoznacznie określić system operacyjny na podstawie TTL.
Zmiana wartości TTL na stałe w systemie Windows 10 wymagać edycji rejestru systemowego.
Polecenie które zmienia wartość TTL.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v DefaultTTL /t REG_DWORD /d 111 /f && shutdown /r /t 5