パケット解析 - TK-CTF/CTF GitHub Wiki
BPF構文
パケットフィルタのための構文.
- 型(default: host)
- host
- net
- port
- 方向
- src
- dst
- プロトコル
- ip
- tcp
- udp
- http
- ftp
環境の特定
SYNスキャン
環境に依存せず高速で信頼性の高いスキャン. どのポートが開いているかわかる.
- 開いている場合
- SYN/ACKレスポンス
- パケット数: 4-6
- 閉じている場合
- RSTレスポンス
- パケット数: 2
- フィルタがある場合
- レスポンスなし
- パケット数: 1
OSフィンガープリント
Passive
送られたパケットのデフォルト値でOSを特定する. p0fを用いるのがよい.
| Protocol Header | Field | Default Value | OS |
|---|---|---|---|
| IP | Initial TTL | 64 | Nmap, BSD, Mac OS X, Linux |
| 128 | Novell, Windows | ||
| 255 | Cisco IOS, Palm OS, Solaris | ||
| IP | Don't Fragment | o | BSD, Mac OS X, Linux, Novell, Windows, Palm OS, Solaris |
| x | Nmap, Cisco IOS | ||
| TCP | Maximum Segment Size | 0 | Nmap |
| 1440 | Windows, Novell | ||
| 1460 | BSD, Mac OS X, Linux, Solaris | ||
| TCP | Window Size | 1024-4096 | Nmap |
| 2920-5840 | Linux | ||
| 4128 | Cisco IOS | ||
| 16384 | Novell | ||
| 24820 | Solaris | ||
| 65536 | BSD, Mac OS X | ||
| ? | Windows | ||
| TCP | Sack Permitted | o | Linux, Windows, Open BSD |
| x | Nmap, Free BSD, Mac OS X, Novell, Cisco IOS, Solaris |