TTl值確定操作系統(tǒng) 六

1、-作者xxxx-日期xxxxTTl值確定操作系統(tǒng) 六【精品文檔】TTl值確定操作系統(tǒng) 六 WINDOWS 98 TTL:32 LINU 2.2X/2.4X TTL:64 WINDOWS NT/2000/XP TTL:128 UNIX/BSD TTL:255 因為在數(shù)據(jù)包傳送過程中,每經(jīng)過一個路由,TTL值就會自動減1,所以上面的數(shù)值是個近似數(shù)值.可以通過tracert命令獲得與遠(yuǎn)程主機間存在的路由個數(shù),來確定精確的TTL值. 光憑TTL值不足以確定的，還需要用tracert命令在cmd中輸入tracert ip，然后會列出一個IP表，數(shù)一下一共有幾行。然后再加上53不過我估計你所說的53真實T

2、TL是64也就是linux系統(tǒng) 不過TTL是可以修改的，我這種方法也只能推測，不能100%肯定32=WIN 98 95（基本沒人用）64=LINUX系列（不多）128=XP.2000.NT.ME（ME好象是）255=UNIX系列（蠻多）過一個路由減一是知道的吧。REGEDIT可修改，所以不可靠，TTL只是初步判斷。從返回TTL值判斷操作系統(tǒng)2009-03-24 16:53TTL值全稱是“生存時間（Time To Live)”，簡單的說它表示DNS記錄在DNS服務(wù)器上緩存時間。TTL是IP協(xié)議包中的一個值，它告訴網(wǎng)絡(luò)路由器包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。有很多原因使包在一定時間內(nèi)不能被傳遞到

3、目的地。例如，不正確的路由表可能導(dǎo)致包的無限循環(huán)。一個解決方法就是在一段時間后丟棄這個包，然后給發(fā)送者一個報文，由發(fā)送者決定是否要重發(fā)。TTL的初值通常是系統(tǒng)缺省值，是包頭中的8位的域。TTL的最初設(shè)想是確定一個時間范圍，超過此時間就把包丟棄。由于每個路由器都至少要把TTL域減一，TTL通常表示包在被丟棄前最多能經(jīng)過的路由器個數(shù)。當(dāng)記數(shù)到0時，路由器決定丟棄該包，并發(fā)送一個ICMP報文給最初的發(fā)送者。 Windows 95/98中TTL的缺省值為32。有人建議當(dāng)?shù)竭_(dá)一個節(jié)點比較困難時，把此值設(shè)為128。ping和tracerouter都使用TTL值以嘗試到達(dá)給定的主機或跟蹤到那個主機的路由。t

4、raceroute把包的TTL值設(shè)得較小，使它在到達(dá)目的的路上被各個路由器連續(xù)的丟棄。發(fā)出包到受到返回的ICMP報文之間的時間用來計算從一個路由器到另一個路由器的時間。 使用多路復(fù)用的IP協(xié)議，TTL值表示一個包被轉(zhuǎn)發(fā)的范圍。有以下轉(zhuǎn)換：0， 限制在同一主機 1， 限制在同一子網(wǎng) 32， 限制在同一節(jié)點 64， 限制在同一區(qū)域（region）128，限制在同一大陸（continent）255， 由于不同的操作系統(tǒng)的默認(rèn)TTL值不同，因此有文章說可以通過返回的TTL值判斷目標(biāo)系統(tǒng)的類型，這是正確的，但不是TTL的功能，只是對TTL理解的一個應(yīng)用。TTL的值可以修改。有些特殊的、系統(tǒng)（如NIDS）

5、會定義特殊的TTL值，以拒絕非法訪問數(shù)據(jù)進入。我們在執(zhí)行PING命令時可以用-i參數(shù)指定TTL值，大家可以將TTL設(shè)置為0，則該包將被立即丟棄。有時我們執(zhí)行了一個PING 命令，在繁華時卻繁 華了另一個地址，并帶有一個英語的提示（大致意思是TTL無效），則表示該包在到達(dá)目標(biāo)之前（也就是到返回IP位置時），包所帶的TTL已經(jīng)為0了或小于下一網(wǎng)段許可通過的TTL值了，該包已經(jīng)被路由丟棄了。TTL是數(shù)據(jù)包生存周期,根據(jù)減少的數(shù)可以判斷經(jīng)過了多少中間設(shè)備在沒有經(jīng)過修改的情況下:UNIX及類UNIX操作系統(tǒng)ICMP回顯應(yīng)答的TTL字段值為255Compaq Tru64 5.0 ICMP回顯應(yīng)答的 TTL

6、字段值為64微軟Windows NT/2K操作系統(tǒng)ICMP回顯應(yīng)答的TTL字段值為128微軟Windows 95操作系統(tǒng)ICMP回顯應(yīng)答的 TTL字段值為32LINUX Kernel 2.2.x & 2.4.x ICMP 回顯應(yīng)答的 TTL 字段值為 64FreeBSD 4.1, 4.0, 3.4;Sun Solaris 2.5.1, 2.6, 2.7, 2.8;OpenBSD 2.6, 2.7,NetBSDICMP 回顯應(yīng)答的 TTL 字段值為 255Windows 95/98/98SEWindows MEICMP 回顯應(yīng)答的 TTL 字段值為 32Windows NT4 WRKSW

7、indows NT4 ServerWindows 2000ICMP 回顯應(yīng)答的 TTL 字段值為 128這樣，我們就可以通過這種方法來辨別操作系統(tǒng) TTLLINUX 64WIN2K/NT 128WINDOWS 系列 32UNIX 系列 255-大家知道，通過Ping和Tracert程序就能判斷目標(biāo)主機類型 ，Ping最主要的用處就是檢測目標(biāo)主機是否能連通。Tracert利 用ICMP數(shù)據(jù)包和IP數(shù)據(jù)包頭部中的TTL值，防止數(shù)據(jù)包不斷在IP 互聯(lián)網(wǎng)上永不終止地循環(huán)。許多入侵者首先會Ping一下你的機子，如看到TTL值為 128就認(rèn)為你的系統(tǒng)為Windows NT/2000;如果TTL值為32則認(rèn)

8、為目標(biāo)主機操作系統(tǒng)為Windows 95/98;如果TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反映出來的結(jié)果，那么我們只要修改TTL 值，入侵者就無法入侵電腦了。操作步驟:1.打開“記事本”程序，編寫批處理命令:echo HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesT cpipParameters2.把編好的程序另存為以.bat為擴展名的批處理文件， 點擊這個文件，你的操作系統(tǒng)的缺省TTL值就會被修改為ff，即 10進制的255，也就是說把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了 。同時，在該文件所在的

9、文件夾下會生成一個名為 ChangeTTL.reg 的注冊表文件。如果你想運行完這個批處理文件而不產(chǎn)生ChangeTTL.reg文件，可以在此批處理文件的最后一行加上 deltree/Y ChangeTTL.reg，就可以無須確認(rèn)自動刪除ChangeTTL.reg文件 。說明:在上面的命令中，echo是DOS下的回顯命令，如 果想看到程序執(zhí)行過程，請將“”去掉?！?gt; >” 中。而“DefaultTTL"=dword?000000ff”則是用來設(shè)置系統(tǒng)缺省TTL 值的，如果你想將自己的操作系統(tǒng)的TTL值改為其他操作系統(tǒng)的 ICMP回顯應(yīng)答值，請改變“"DefaultTTL"”的鍵值，要注意將 對應(yīng)操作系統(tǒng)的T