|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2003-08-11, 08:05 PM | #1 |
榮譽會員
|
一個關於ping指令的問題!
Q:
一個關於ping指令的問題! 使用ping指令來ping一個位址,在得到的反饋信息中,有TTL一項,聽朋友說過,如果TTL的值是64或者128,那麼,對方就是用的windows系統,否則,則使用的是其他系統,不知道是否正確?用ping指令來ping精品,得到的值是47,那麼,精品使用的是什麼系統呢?這個TTL的值,還可能是其他的很多值嗎?還是每個系統有它自己類BIOS的值呢?如果是這樣,是否有這個TTL也操作系統的對照表呢? 請多指教!! A: TTL TTL 值是返回的ECHO REPLY 的剩下的TTL. 它只能說明路上經過幾個HOPS. 預設情況,起始值是因OS而異的 TTL:生存時間 指定資料報被路由器丟棄之前允許通過的網段數量。 TTL 是由傳送主機設定的,以防止資料包不斷在 IP 網際網路絡上永不終止地循環。 轉發 IP 資料包時,要求路由器至少將 TTL 減小 1。 利用TTL值來鑒別操作系統 作 者:.abu. 發表於:2001-1-X 一、關於PING的介紹 PING指令來檢查要到達的目標 IP 位址並記錄結果。 ping 指令顯示目標是否回應以及接收答覆所需的時間。 ICMP ECHO(Type 8) 和ECHO Reply (Type 0) 我們使用一個ICMP ECHO資料包來探測主機位址 HOST B 是否存活 (當然在主機沒有被配置為過濾ICMP形式) 通過簡單的傳送一個ICMP ECHO(Type 8)資料包到目標主機 如果ICMP ECHO Reply(ICMP type 0)資料包 HOST A 可以接受到,說明主機是存活狀態。 如果沒有就可以初步判斷主機沒有在線或者使用了某些過濾設備過濾了ICMP的REPLY。 +---------------------------------------------------------------+ | | | +-------+ +-------+ | | | | ICMP Echo Request | | | | | HOST | --------------------------> | HOST| | | | | | | | | | A | | B | | | | | <-------------------------- | | | | | | ICMP Echo Reply | | | | +-------+ +-------+ | | | +---------------------------------------------------------------+ 這種機制就是我們通常所用的ping指令來檢測目標主機是否可以ping到。 典型的例子 C:\>ping 192.168.0.1 Pinging 192.168.0.1 with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time<10ms TTL=128 Reply from 192.168.0.1: bytes=32 time<10ms TTL=128 Reply from 192.168.0.1: bytes=32 time<10ms TTL=128 Reply from 192.168.0.1: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms 二、注意TTL TTL:生存時間 指定資料報被路由器丟棄之前允許通過的網段數量。 TTL 是由傳送主機設定的,以防止資料包不斷在 IP 網際網路絡上永不終止地循環。 轉發 IP 資料包時,要求路由器至少將 TTL 減小 1。 使用PING時涉及到的 ICMP 報文類型 一個為ICMP請求回顯(ICMP Echo Request) 一個為ICMP回顯回應(ICMP Echo Reply) 三、TTL 字段值可以說明 我們識別操作系統類型。 UNIX 及類 UNIX 操作系統 ICMP 回顯回應的 TTL 字段值為 255 Compaq Tru64 5.0 ICMP 回顯回應的 TTL 字段值為 64 微軟 Windows NT/2K操作系統 ICMP 回顯回應的 TTL 字段值為 128 微軟 Windows 95 操作系統 ICMP 回顯回應的 TTL 字段值為 32 當然,返回的TTL值是相同的 但有些情況下有所特殊 LINUX Kernel 2.2.x & 2.4.x ICMP 回顯回應的 TTL 字段值為 64 FreeBSD 4.1, 4.0, 3.4; Sun Solaris 2.5.1, 2.6, 2.7, 2.8; OpenBSD 2.6, 2.7, NetBSD HP UX 10.20 ICMP 回顯回應的 TTL 字段值為 255 Windows 95/98/98SE Windows ME ICMP 回顯回應的 TTL 字段值為 32 Windows NT4 WRKS Windows NT4 Server Windows 2000 ICMP 回顯回應的 TTL 字段值為 128 這樣,我們就可以通過這種方法來辨別 操作系統 TTL LINUX 64 WIN2K/NT 128 WINDOWS 系列 32 UNIX 系列 255 經過測試的操作系統如下: LINUX Kernel 2.2.x, Kernel 2.4t1-6; FreeBSD 4.1,4.0,3.4; OpenBSD 2.7,2.6; NetBSD 1.4.2; Sun Solaris 2.5.1,2.6,2.7,2.8; HP-UX 10.20, 11.0; AIX 4.1, 3.2; Compaq Tru64 5.0; Irix 6.5.3,6.5.8; BSDI BSD/OS 4.0,3.1; Ultrix 4.2-4.5; OpenVMS 7.1-2; Windows 95/98/98SE/ME; Windows NT 4 Workstation SP3, SP4, SP6a; Windows NT 4 Server SP4; Windows 2000 Professional, Server, Advanced Server。 附: ICMP報文的類型包括如下: ECHO (Request (Type 8), Reply (Type 0))--回顯回應, Time Stamp (Request (Type 13), Reply (Type 14))--時間戳請求和回應, Information (Request (Type 15), Reply (Type16))--信息請求和回應, Address Mask (Request (Type 17), Reply (Type 18))--位址掩碼請求和回應等 參考資料來源: WINDOWS 2K 系統求助文件 http://www.sys-security.com |
送花文章: 3,
|