各個操作系統(tǒng)TTL默認值,教你如何使用TTL分析網(wǎng)絡(luò)攻擊

發(fā)布時間：2014-06-03 15:32:36 作者：佚名

這篇文章主要介紹了各個操作系統(tǒng)TTL默認值,教你如何使用TTL分析網(wǎng)絡(luò)攻擊 ,需要的朋友可以參考下

操作系統(tǒng)                          TCP傳輸    UDP傳輸
AIX                              60           30
DEC Patchworks V5                30           30
FreeBSD 2.1                      64           64
HP/UX 9.0x                       30           30
HP/UX 10.01                      64           64
Irix 5.3                         60           60
Irix 6.x                         60           60
UNIX                             255          255
Linux                            64           64
MacOS/MacTCP 2.0.x               60           60
OS/2 TCP/IP 3.0                  64           64
OSF/1 V3.2A                      60           30
Solaris 2.x                      255          255
SunOS 4.1.3/4.1.4                60           60
Ultrix V4.1/V4.2A                60           30
VMS/Multinet                     64           64
VMS/TCPware                      60           64
VMS/Wollongong 1.1.1.1           128          30
VMS/UCX (latest rel.)            128          128
MS Windows 95/98/NT 3.51         32           32
Windows NT 4.0/2000/XP/2003      128          128

二、查看數(shù)據(jù)包的TTL值并分析傳輸故障

　　網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備，其內(nèi)部都是由操作系統(tǒng)進行處理的（有些硬件設(shè)備將系統(tǒng)預(yù)裝在了硬件芯片里面），在網(wǎng)絡(luò)遇到傳輸故障時，我們可以使用網(wǎng)絡(luò)檢測軟件，結(jié)合上表的信息對網(wǎng)絡(luò)中流通的數(shù)據(jù)包進行檢測，查看數(shù)據(jù)包的TTL值，以確定故障是否由錯誤的路由等原因引起。使用科來網(wǎng)絡(luò)分析系統(tǒng)5.0查看一個數(shù)據(jù)包TTL值的情況。
　　（用抓包工具查看TTL值） linux 抓包命令( tcpdump -i eth0 -c 5000 -w eth0.cap )

　　生存時間（TTL）是247，結(jié)合表1，確定出這個數(shù)據(jù)包在從源端（這里是61.139.2.69）到目的端（這里是192.168.10.44）共經(jīng)歷了255－247＝8個路由器，且在傳輸過程中未出現(xiàn)故障。
　　注意：
　　1. 確定數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)歷了多少個路由器，可用數(shù)據(jù)包源端設(shè)備的TTL默認值減去捕獲到的數(shù)據(jù)包TTL值；
　　2. 在不知道數(shù)據(jù)包源端設(shè)備的默認TTL時，一般用大于捕獲數(shù)據(jù)包的TTL，且最接近這個TTL的默認值。

　　3. TTL字段長1個字節(jié)，所以TTL的最大值255；
　　通過查看數(shù)據(jù)包的TTL，可以確定網(wǎng)絡(luò)傳輸是否正常。如果捕獲到的數(shù)據(jù)包的TTL值過小，則表示網(wǎng)絡(luò)中很可能存在傳輸故障，應(yīng)及時檢查網(wǎng)絡(luò)中三層設(shè)備的路由表配置，以及各主機上的路由表信息。

`````````````````````````````````````````````````````````````````````````````````````````
-A INPUT -p udp -m ttl --ttl-eq 98 -j DROP ; ttl eq 為等于 = 98 就禁止
-A INPUT -p udp -m ttl --ttl-lt 45 -j DROP ;ttl lt為小于 < 45 就禁止

````````````````````````

下面分析數(shù)據(jù)包

1、使用wireshark 查看cap文件

找到 time to live: 128

攻擊的服務(wù)器系統(tǒng)應(yīng)該是windows 內(nèi)網(wǎng)IP

在沒有專用的防護設(shè)備的條件下，相對于攻擊者而言，防御方在資源方面處于絕對的弱勢。對攻擊發(fā)生時的cap文件進行仔細的分析，找出攻擊數(shù)據(jù)包與正常業(yè)務(wù)流量中有區(qū)別的地方，針對特定的數(shù)據(jù)進行封堵，能起到很大的防護作用。