Identificando el SO desde Linux con Ping

La primera fase de una auditoría o test de penetración es la de reconocimiento de servicios y puertos que corren para una determinada IP.

Para ello, uno de los métodos es ver si la máquina está activa y ver el sistema operativo que utiliza, por tanto se envia una traza ICMP (Internet Control Message Protocol) a la IP mediante un ping para ver el time to live (ttl) analizando también la traceroute.

Si está bloqueada la traza ICMP para analizar los puertos en un caso de máquinas Windows, existe la alternativa de analizarlo con tcping que usa el protocolo TCP.

Para ello se ejecutaría un ping acompañado de «-c» para indicar el número de paquetes a enviar (+1) y «-R» para ver el traceroute:

ping -c 1 IP -R

Cuando por ejemplo estás haciendo máquinas desde plataformas de HTB o THM, el ttl suele disminuir en una unidad principalmente porque la conexión no es directa sino que existen dos nodos intermediarios que se interponen en la conexión con el servidor al enviar el paquete tanto de ida como de vuelta.

Por ejemplo, la máquina Linux tiene un ttl de 64, y en la consola aparecerá en la consola con un tll de 63, mientras que las máquinas Windows tienen un ttl de 128 y aparecerían con un ttl de 127.

Estos son los más conocidos a nivel protocolo ICMP, pero suelen coincidir con los otros protocolos de UDP y TCP.