各个操作系统TTL默认值,教你如何使用TTL分析网络攻击

所属分类: 网络 / 疑难 阅读数: 1044
收藏 0 赞 0 分享

操作系统                          TCP传输    UDP传输  
AIX                              60           30  
DEC Patchworks V5                30           30  
FreeBSD 2.1                      64           64  
HP/UX 9.0x                       30           30  
HP/UX 10.01                      64           64  
Irix 5.3                         60           60  
Irix 6.x                         60           60  
UNIX                             255          255  
Linux                            64           64  
MacOS/MacTCP 2.0.x               60           60  
OS/2 TCP/IP 3.0                  64           64  
OSF/1 V3.2A                      60           30  
Solaris 2.x                      255          255  
SunOS 4.1.3/4.1.4                60           60  
Ultrix V4.1/V4.2A                60           30  
VMS/Multinet                     64           64  
VMS/TCPware                      60           64  
VMS/Wollongong 1.1.1.1           128          30  
VMS/UCX (latest rel.)            128          128  
MS Windows 95/98/NT 3.51         32           32  
Windows NT 4.0/2000/XP/2003      128          128

二、 查看数据包的TTL值并分析传输故障

  网络中的网络设备,其内部都是由操作系统进行处理的(有些硬件设备将系统预装在了硬件芯片里面),在网络遇到传输故障时,我们可以使用网络检测软件,结合上表的信息对网络中流通的数据包进行检测,查看数据包的TTL值,以确定故障是否由错误的路由等原因引起。使用科来网络分析系统5.0查看一个数据包TTL值的情况。
  (用抓包工具查看TTL值) linux 抓包命令( tcpdump -i eth0 -c 5000 -w eth0.cap  )

  生存时间(TTL)是247,结合表1,确定出这个数据包在从源端(这里是61.139.2.69)到目的端(这里是192.168.10.44)共经历了255-247=8个路由器,且在传输过程中未出现故障。
  注意:
  1. 确定数据包在网络中经历了多少个路由器,可用数据包源端设备的TTL默认值减去捕获到的数据包TTL值;
  2. 在不知道数据包源端设备的默认TTL时,一般用大于捕获数据包的TTL,且最接近这个TTL的默认值。

  3. TTL字段长1个字节,所以TTL的最大值255;
  通过查看数据包的TTL,可以确定网络传输是否正常。如果捕获到的数据包的TTL值过小,则表示网络中很可能存在传输故障,应及时检查网络中三层设备的路由表配置,以及各主机上的路由表信息。


 `````````````````````````````````````````````````````````````````````````````````````````
-A INPUT -p udp -m ttl --ttl-eq 98 -j DROP   ; ttl eq 为 等于 =  98  就禁止
-A INPUT -p udp -m ttl --ttl-lt 45 -j DROP     ;ttl lt为  小于 < 45 就禁止

````````````````````````

 下面分析数据包

1、 使用wireshark 查看cap文件

找到 time to live: 128 

攻击的服务器系统应该是windows 内网IP

 在没有专用的防护设备的条件下,相对于攻击者而言,防御方在资源方面处于绝对的弱势。对攻击发生时的cap文件进行仔细的分析,找出攻击数据包与正常业务流量中有区别的地方,针对特定的数据进行封堵,能起到很大的防护作用。

更多精彩内容其他人还在看

怎么解决无线网间歇性掉线问题

很多用户反馈这个问题,期初我们也认为就是驱动的问题,随着研究的深入发现这也很可能是由于无线网卡和路由器之间的PSPM模式不兼容产生的。
收藏 0 赞 0 分享

无线网络容易掉线的原因和解决方法

这篇文章主要介绍了无线网络容易掉线的原因和解决方法,本文剖析了无线网经常掉线的一些原因,并给出相应的解决方法,的朋友可以参考下
收藏 0 赞 0 分享

宽带连接错误代码678介绍、产生原因和解决方法

最近帮朋友家里看网时,上网拨号出现宽带错误代码678,当时咨询电信客服电话,可是他们只给我一个不能上网的回复,没办法,小编只好自己解决了,并总结成本文分享给大家,需要的朋友可以参考下
收藏 0 赞 0 分享

ADSL经常断流与断线的问题分析与解决方案

什么是ADSL的断流问题呢?通常是用ADSL MODEM能成功拨号登陆,但上网的时候数据流传输突然中断,时不时的能连上网,下面跟随脚本之家的小编一起来了解一下ADSL经常断线的原因和解决方法
收藏 0 赞 0 分享

局域网故障排除经验之谈 网卡故障居多

本文是笔者根据自己的经验谈排除局域网故障,网络故障可分为硬件故障和软件故障两大类。关于局域网的软件问题引起网络故障的例子很多,但多数集中在网卡的设置上,需要的朋友可以参考下
收藏 0 赞 0 分享

家庭局域网故障之电脑网线插口灯不亮的的解决办法

本文所研究的内容就是要解决 组建家庭局域网所带来的一系列问题。搭建家庭局域网不难,想要一次调通可不是那么轻易。不过,难者不会,会者不难,把握了下面这些小技巧,你就可以轻松解决网络软硬故障了。
收藏 0 赞 0 分享

解决宽带路由器无法上网和网速不稳的办法

有用户反映在接上路由器之后,感觉电脑的上网速度变慢了,却又找不到问题的症结所在,无法解决。下面就介绍下遇到此问题的一般处理方法
收藏 0 赞 0 分享

Win98局域网网上邻居找不到自己电脑的解决办法

这篇文章主要为大家介绍了局域网上使用Win98作操作系统的客户机,有时候会出现“网上邻居”找不到本机的怪现象,具体解决办法如下文,需要的朋友可以参考下
收藏 0 赞 0 分享

SDN与交换机怎么实现通信 需达成什么“协议”

怎样实现SDN与交换机通信?为了解决这个问题,目前有许多供应商正在开发开放传输交换机,它们将充当SDN控制器和光纤传输交换机之间的中介,需要的朋友可以参考下
收藏 0 赞 0 分享

遇到传统SLAAC地址的主动主机跟踪的问题该怎么解决?

这篇文章主要为大家介绍了如何对抗传统SLAAC地址的主动主机跟踪?以及对抗主动主机跟踪的方法和工具,需要的朋友可以参考下
收藏 0 赞 0 分享
查看更多