首页 > 学院 > 网络通信 > 正文

各个操作系统TTL默认值,教你如何使用TTL分析网络攻击

2020-03-15 14:23:30
字体:
来源:转载
供稿:网友

操作系统                          TCP传输    UDP传输  
AIX                              60           30  
DEC Patchworks V5                30           30  
FreeBSD 2.1                      64           64  
HP/UX 9.0x                       30           30  
HP/UX 10.01                      64           64  
Irix 5.3                         60           60  
Irix 6.x                         60           60  
UNIX                             255          255  
Linux                            64           64  
MacOS/MacTCP 2.0.x               60           60  
OS/2 TCP/IP 3.0                  64           64  
OSF/1 V3.2A                      60           30  
Solaris 2.x                      255          255  
SunOS 4.1.3/4.1.4                60           60  
Ultrix V4.1/V4.2A                60           30  
VMS/Multinet                     64           64  
VMS/TCPware                      60           64  
VMS/Wollongong 1.1.1.1           128          30  
VMS/UCX (latest rel.)            128          128  
MS Windows 95/98/NT 3.51         32           32  
Windows NT 4.0/2000/XP/2003      128          128

二、 查看数据包的TTL值并分析传输故障

  网络中的网络设备,其内部都是由操作系统进行处理的(有些硬件设备将系统预装在了硬件芯片里面),在网络遇到传输故障时,我们可以使用网络检测软件,结合上表的信息对网络中流通的数据包进行检测,查看数据包的TTL值,以确定故障是否由错误的路由等原因引起。使用科来网络分析系统5.0查看一个数据包TTL值的情况。
  (用抓包工具查看TTL值) linux 抓包命令( tcpdump -i eth0 -c 5000 -w eth0.cap  )

  生存时间(TTL)是247,结合表1,确定出这个数据包在从源端(这里是61.139.2.69)到目的端(这里是192.168.10.44)共经历了255-247=8个路由器,且在传输过程中未出现故障。
  注意:
  1. 确定数据包在网络中经历了多少个路由器,可用数据包源端设备的TTL默认值减去捕获到的数据包TTL值;
  2. 在不知道数据包源端设备的默认TTL时,一般用大于捕获数据包的TTL,且最接近这个TTL的默认值。

  3. TTL字段长1个字节,所以TTL的最大值255;
  通过查看数据包的TTL,可以确定网络传输是否正常。如果捕获到的数据包的TTL值过小,则表示网络中很可能存在传输故障,应及时检查网络中三层设备的路由表配置,以及各主机上的路由表信息。


 `````````````````````````````````````````````````````````````````````````````````````````
-A INPUT -p udp -m ttl --ttl-eq 98 -j DROP   ; ttl eq 为 等于 =  98  就禁止
-A INPUT -p udp -m ttl --ttl-lt 45 -j DROP     ;ttl lt为  小于 < 45 就禁止

````````````````````````

 下面分析数据包

1、 使用wireshark 查看cap文件

找到 time to live: 128 

攻击的服务器系统应该是windows 内网IP

 在没有专用的防护设备的条件下,相对于攻击者而言,防御方在资源方面处于绝对的弱势。对攻击发生时的cap文件进行仔细的分析,找出攻击数据包与正常业务流量中有区别的地方,针对特定的数据进行封堵,能起到很大的防护作用。


注:相关教程知识阅读请移步到网络基础知识频道。
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表