Mudança do valor de TTL - ping
Dica publicada em Linux / Segurança
Mudança do valor de TTL - ping
Galera, recentemente vi um post aqui no VOL que dizia sobre a possibilidade de se descobrir o sistema operacional de um servidor pelo valor de seu ttl. É claro que isso é possível, pois os ttl são padrões. Seguem alguns exemplos.
Por exemplo, quando damos um "ping www.uol.com.br" ele responde o valor 57. O valor mais próximo desse valor de TTL é o 64, que vem de Linux. Se considerarmos que o pacote deu 7 hops até chegar ao destino (passou por 7 roteadores) então temos o cálculo:
64-7 = 57
Sendo assim conseguimos saber o sistema operacional que roda no servidor da UOL. Mas a dica é para a mudança do ttl, evitando assim passar informações sobre o servidor.
Para sabermos o valor de TTL do sistema operacional, podemos dar um cat no arquivo:
# cat /proc/sys/net/ipv4/ip_default_ttl
64
E se quisermos alterar esse valor de TTL, também podemos! Podemos colocar, por exemplo, 128 dentro desse arquivo, assim consigo enganar quem quiser informações de meu servidor.
Mas se alterarmos simplesmente esse arquivo, não será o suficiente, porque ele não ficará fixo! Para ficar sempre um valor diferente do valor padrão, é necessário editar o arquivo:
# vim /etc/sysctl.conf
E no final dele, acrescentar uma linha com o novo valor de TTL que você definir:
Depois é só validar com o comando:
# sysctl -p /etc/sysctl.conf
- Roteadores Ciclades = 30
- Linux = 64
- Windows = 128
- Cisco = 255
- Linux + Iptables = 255
Por exemplo, quando damos um "ping www.uol.com.br" ele responde o valor 57. O valor mais próximo desse valor de TTL é o 64, que vem de Linux. Se considerarmos que o pacote deu 7 hops até chegar ao destino (passou por 7 roteadores) então temos o cálculo:
64-7 = 57
Sendo assim conseguimos saber o sistema operacional que roda no servidor da UOL. Mas a dica é para a mudança do ttl, evitando assim passar informações sobre o servidor.
Para sabermos o valor de TTL do sistema operacional, podemos dar um cat no arquivo:
# cat /proc/sys/net/ipv4/ip_default_ttl
64
E se quisermos alterar esse valor de TTL, também podemos! Podemos colocar, por exemplo, 128 dentro desse arquivo, assim consigo enganar quem quiser informações de meu servidor.
Mas se alterarmos simplesmente esse arquivo, não será o suficiente, porque ele não ficará fixo! Para ficar sempre um valor diferente do valor padrão, é necessário editar o arquivo:
# vim /etc/sysctl.conf
E no final dele, acrescentar uma linha com o novo valor de TTL que você definir:
net.ipv4.ip_default_ttl = 64
Depois é só validar com o comando:
# sysctl -p /etc/sysctl.conf
Abraço.