你知道吗，你可以通过查看一个联网设备在网络上的通信方式来找出它运行的是哪个操作系统？让我们看看如何发现我们的设备运行的是什么操作系统。

你为什么要这么做？

确定机器或设备运行的操作系统有许多原因都是有用的。首先让我们看看一个日常的视角，想象一下你想换一个新的ISP，这个ISP每月提供50美元的未加封顶的互联网，所以你可以试用他们的服务。通过使用操作系统指纹，您很快就会发现它们有垃圾路由器，并提供了一个PPPoE服务，提供在一堆Windows Server 2003机器上。听起来不算什么好了，哈？

另一个用途，尽管不是那么道德，但事实上安全漏洞是特定于操作系统的。例如，您执行端口扫描并查找端口53打开，并且计算机正在运行过时且易受攻击的绑定版本，您只有一次机会利用安全漏洞，因为失败的尝试将导致守护进程崩溃。

操作系统指纹是如何工作的？

在对当前流量进行被动分析，甚至查看旧的数据包捕获时，最简单、有效的操作系统指纹识别方法之一就是简单地查看TCP会话中第一个数据包的IP报头中的TCP窗口大小和生存时间（TTL）。

以下是更流行的操作系统的值：

操作系统具有不同值的主要原因是，用于TCP/IP的RFC没有规定默认值。要记住的另一个重要事项是，TTL值并不总是与表中的值匹配，即使您的设备正在运行列出的操作系统之一，您也会看到，当您通过网络发送IP数据包时，发送设备的操作系统会将TTL设置为该操作系统的默认TTL，但当数据包穿过路由器时TTL降低1。因此，如果您看到TTL为117，则可以预期这是使用TTL为128发送的数据包，并且在被捕获之前已经遍历了11个路由器。

使用tshark.exe文件是查看值的最简单方法，因此一旦获得数据包捕获，请确保已安装Wireshark，然后导航到：

C:\Program Files\

现在按住shift键并右键单击wireshark文件夹，然后从关联菜单中选择“在此处打开命令窗口”

现在键入：

tshark -r "C:\Users\Taylor Gibb\Desktop\blah.pcap" "tcp.flags.syn eq 1" -T fields -e ip.src -e ip.ttl -e tcp.window_size

确保替换“C:\Users\Taylor Gibb\Desktop”\废话.pcap“与您的数据包捕获的绝对路径。一旦你点击回车键，你将看到所有的SYN数据包从你的捕获一个更容易阅读的表格格式

现在这是一个随机的数据包捕获，我连接到How to Geek网站，在所有其他聊天窗口正在做的事情中，我可以肯定地告诉你两件事：

• 我的局域网是192.168.0.0/24
• 我在Windows7上

如果您查看表的第一行，您会发现我没有说谎，我的IP地址是192.168.0.84我的TTL是128，我的TCP窗口大小是8192，这与Windows 7的值相匹配。

接下来我看到的是一个74.125.233.24地址，TTL为44，TCP窗口大小为5720，如果我查看我的表，没有TTL为44的操作系统，但是它确实说Google服务器运行的Linux有一个TCP窗口大小为5720。在对IP地址进行快速的网络搜索之后，您将看到它实际上是一个Google服务器。

你还用什么tshark.exe文件例如，请在评论中告诉我们。