ich habe in meinem anderen forum, dessen namen ich nicht nennen will, eine anleitung zum windows sicherer zu machen gefunden. und jetzt wollte ich wissen ob das ttl ändern wirklich was bringt.
beitrag vom unbekannten forum :
Zitat
Anhand des TTL-Wertes [TTL==TimeToLive, das ist die Dauer, die ein Packet im Netzwerk "ueberleben" kann]
kann man das Betriebssystem auf einem Computer ziemlich genau erkennen [diese Methode wird als "Fingerprinting" bezeichnet].
Das liegt daran, dass die Betriebssysteme standartmaeßig unterschiedliche TTL-Werte benutzen. Hier eine Liste von
Betriebssystemen und ihrer "default" TTL-Werte:
OS: | TTL:
------------------------+-----
Cisco Router ISO 12.2.1 | 255
QNX Neutrino OS | 255
Linux | 255
Solaris 2.x | 255
Windows ME | 128
Windows NT 4.0 | 128
Windows 2000 | 128
Windows XP Professional | 128
VMS/Wollongong | 128
VMS/UCX | 128
NetGear FM114P | 64
OS/2 TCP/IP 3.0 | 64
HP/UX 10.01 | 64
Linux | 64
VMS/Multinet | 64
FreeBSD 2.1R | 64
AIX | 60
Irix 5.3 | 60
Irix 6.x | 60
MacOS/MacTCP 2.0.x | 60
OSF/1 V3.2A | 60
SunOS 4.1.3/4.1.4 | 60
Ultrix V4.1/V4.2A | 60
VMS/TCPware | 60
DEC Pathworks V5 | 30
HP/UX 9.0x | 30
Windows for Workgroups | 32
Windows 95 | 32
Windows 98 | 32
Windows 98 SE | 32
Windows NT 3.51 | 32
Wie kann ich einen TTL-Wert herausfinden?
Geht einfach in die Eingabeaufforderung [cmd.exe] und pingt den PC, dessen TTL-Wert ihr wissen wollt, an.
Die Ausgabe sollte folgendermaßen aussehen:
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
Aha, TTL ist also 128, was mit ziemlich großer Wahrscheinlichkeit auf ein Windows-Betriebssystem der neueren Generation hindeutet.
Wie aendere ich den TTL-Wert?
Navigiert im Registrierungs-Editor [regedit.exe] zum Schluessel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
und erstellt einen neuen Unterschluessel vom Typ REG_DWORD mit dem Namen DefaultTTL.
Nun braucht ihr nur noch den Wert dieses Schluessels zu aendern, dazu klickt ihr [logischer Weise] mit der
rechten Maustaste auf den Schluessel und waehlt "Ändern". Nun noch auf "dezimal" umstellen
und bei "Wert" eine Zahl zwischen 1 und 255 eingeben [z.B. 60].
Rebooten und Fertig!
Pingt euch noch einmal selbst an, um zu pruefen, ob sich der TTL-Wert tatsaechlich geaendert hat.
Damit habt ihr es einem Angreifer schon erheblich schwerer gemacht, euer Betriebssystem zu erraten
[und ein Scriptkiddy ist bei TTL=60 bestimmt planlos Augenzwinkern ].
kann man das Betriebssystem auf einem Computer ziemlich genau erkennen [diese Methode wird als "Fingerprinting" bezeichnet].
Das liegt daran, dass die Betriebssysteme standartmaeßig unterschiedliche TTL-Werte benutzen. Hier eine Liste von
Betriebssystemen und ihrer "default" TTL-Werte:
OS: | TTL:
------------------------+-----
Cisco Router ISO 12.2.1 | 255
QNX Neutrino OS | 255
Linux | 255
Solaris 2.x | 255
Windows ME | 128
Windows NT 4.0 | 128
Windows 2000 | 128
Windows XP Professional | 128
VMS/Wollongong | 128
VMS/UCX | 128
NetGear FM114P | 64
OS/2 TCP/IP 3.0 | 64
HP/UX 10.01 | 64
Linux | 64
VMS/Multinet | 64
FreeBSD 2.1R | 64
AIX | 60
Irix 5.3 | 60
Irix 6.x | 60
MacOS/MacTCP 2.0.x | 60
OSF/1 V3.2A | 60
SunOS 4.1.3/4.1.4 | 60
Ultrix V4.1/V4.2A | 60
VMS/TCPware | 60
DEC Pathworks V5 | 30
HP/UX 9.0x | 30
Windows for Workgroups | 32
Windows 95 | 32
Windows 98 | 32
Windows 98 SE | 32
Windows NT 3.51 | 32
Wie kann ich einen TTL-Wert herausfinden?
Geht einfach in die Eingabeaufforderung [cmd.exe] und pingt den PC, dessen TTL-Wert ihr wissen wollt, an.
Die Ausgabe sollte folgendermaßen aussehen:
Antwort von 127.0.0.1: Bytes=32 Zeit<1ms TTL=128
Aha, TTL ist also 128, was mit ziemlich großer Wahrscheinlichkeit auf ein Windows-Betriebssystem der neueren Generation hindeutet.
Wie aendere ich den TTL-Wert?
Navigiert im Registrierungs-Editor [regedit.exe] zum Schluessel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
und erstellt einen neuen Unterschluessel vom Typ REG_DWORD mit dem Namen DefaultTTL.
Nun braucht ihr nur noch den Wert dieses Schluessels zu aendern, dazu klickt ihr [logischer Weise] mit der
rechten Maustaste auf den Schluessel und waehlt "Ändern". Nun noch auf "dezimal" umstellen
und bei "Wert" eine Zahl zwischen 1 und 255 eingeben [z.B. 60].
Rebooten und Fertig!
Pingt euch noch einmal selbst an, um zu pruefen, ob sich der TTL-Wert tatsaechlich geaendert hat.
Damit habt ihr es einem Angreifer schon erheblich schwerer gemacht, euer Betriebssystem zu erraten
[und ein Scriptkiddy ist bei TTL=60 bestimmt planlos Augenzwinkern ].