不同操作系统的默认TTL（生存时间）值

TTL（生存时间）是网络发送的数据包中包含的计时器值，它告诉接收者在丢弃和过期数据（数据包）之前要保留或使用该数据包多长时间。对于不同的操作系统，TTL值是不同的。因此，您可以根据TTL值确定操作系统。您可以通过ping地址来获取TTL值。这是通过在我的系统上ping“ subinsb.com”得到的输出：

PING subinsb.com (108.162.199.61) 56(84) bytes of data.

64 bytes from 108.162.199.61: icmp_seq=1 ttl=57 time=503 ms

64 bytes from 108.162.199.61: icmp_seq=2 ttl=57 time=416 ms

从输出中可以看到，您获得了 TTL值。由于此网站托管在Red Hat系统上，因此返回57，接近64（Linux系统的TTL默认值）。因此，从中我们可以了解远

程系统的OS。以下是 不同设备/操作系统的默认TTL值：

设备/操作系统

版本

协议

TTL

AIX

TCP

60

AIX

UDP

30

AIX

3.2, 4.1

ICMP

255

BSDI

BSD/OS 3.1 and 4.0

ICMP

255

Compa

Tru64 v5.0

ICMP

64

Cisco

ICMP

254

DEC Pathworks

V5

TCP and UDP

30

Foundry

ICMP

64

FreeBSD

2.1R

TCP and UDP

64

FreeBSD

3.4, 4.0

ICMP

255

FreeBSD

5

ICMP

64

HP-UX

9.0x

TCP and UDP

30

HP-UX

10.01

TCP and UDP

64

HP-UX

10.2

ICMP

255

HP-UX

11

ICMP

255

HP-UX

11

TCP

64

Irix

5.3

TCP and UDP

60

Irix

6.x

TCP and UDP

60

Irix

6.5.3, 6.5.8

ICMP

255

juniper

ICMP

64

MPE/IX (HP)

ICMP

200

Linux

2.0.x kernel

ICMP

64

Linux

2.2.14 kernel

ICMP

255

Linux

2.4 kernel

ICMP

255

Linux

Red Hat 9

ICMP and TCP

64

MacOS/MacTCP

2.0.x

TCP and UDP

60

MacOS/MacTCP

X (10.5.6)

ICMP/TCP/UDP

64

NetBSD

ICMP

255

Netgear FVG318

ICMP and UDP

64

OpenBSD

2.6 & 2.7

ICMP

255

OpenVMS

07.01.2002

ICMP

255

OS/2

TCP/IP 3.0

64

OSF/1

V3.2A

TCP

60

OSF/1

V3.2A

UDP

30

Solaris

2.5.1, 2.6, 2.7, 2.8

ICMP

255

Solaris

2.8

TCP

64

Stratus

TCP_OS

ICMP

255

Stratus

TCP_OS (14.2-)

TCP and UDP

30

Stratus

TCP_OS (14.3+)

TCP and UDP

64

Stratus

STCP

ICMP/TCP/UDP

60

SunOS

4.1.3/4.1.4

TCP and UDP

60

SunOS

5.7

ICMP and TCP

255

Ultrix

V4.1/V4.2A

TCP

60

Ultrix

V4.1/V4.2A

UDP

30

Ultrix

V4.2 – 4.5

ICMP

255

VMS/Multinet

TCP and UDP

64

VMS/TCPware

TCP

60

VMS/TCPware

UDP

64

VMS/Wollongong

1.1.1.1

TCP

128

VMS/Wollongong

1.1.1.1

UDP

30

VMS/UCX

TCP and UDP

128

Windows

for Workgroups

TCP and UDP

32

Windows

95

TCP and UDP

32

Windows

98

ICMP

32

Windows

98, 98 SE

ICMP

128

Windows

98

TCP

128

Windows

NT 3.51

TCP and UDP

32

Windows

NT 4.0

TCP and UDP

128

Windows

NT 4.0 SP5-

32

Windows

NT 4.0 SP6+

128

Windows

NT 4 WRKS SP 3, SP 6a

ICMP

128

Windows

NT 4 Server SP4

ICMP

128

Windows

ME

ICMP

128

Windows

2000 pro

ICMP/TCP/UDP

128

Windows

2000 family

ICMP

128

Windows

Server 2003

128

Windows

XP

ICMP/TCP/UDP

128

Windows

Vista

ICMP/TCP/UDP

128

Windows

7

ICMP/TCP/UDP

128

Windows

Server 2008

ICMP/TCP/UDP

128

Windows

10

ICMP/TCP/UDP

128

如果有时间，我将在将来发布新的重要操作系统时更新此表。您可以通过此表获取默认TTL值的简短版本 ：

设备/操作系统

TTL

* nix（Linux / Unix）

64

Windows

128

Solaris / AIX

254

您可以通过ping Gurubaran提到的localhost自己找到它 ：

ping -4 localhost

正在 Ping x [127.0.0.1] 具有 32 字节的数据:

来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128

来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128

来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128

来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128

127.0.0.1 的 Ping 统计信息:

数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，

往返行程的估计时间(以毫秒为单位):

最短 = 0ms，最长 = 0ms，平均 = 0ms

二、 查看数据包的TTL值并分析传输故障

网络中的网络设备，其内部都是由操作系统进行处理的（有些硬件设备将系统预装在了硬件芯片里面），在网络遇到传输故障时，我们可以使用网络检测软件，结合上表的信息对网络中流通的数据包进行检测，查看数据包的TTL值，以确定故障是否由错误的路由等原因引起。使用科来网络分析系统5.0查看一个数据包TTL值的情况。 （用抓包工具查看TTL值） linux 抓包命令( tcpdump -i eth0 -c 5000 -w eth0.cap )

生存时间（TTL）是247，结合表1，确定出这个数据包在从源端（这里是61.139.2.69）到目的端（这里是192.168.10.44）共经历了255－247＝8个路由器，且在传输过程中未出现故障。 注意： 1. 确定数据包在网络中经历了多少个路由器，可用数据包源端设备的TTL默认值减去捕获到的数据包TTL值； 2. 在不知道数据包源端设备的默认TTL时，一般用大于捕获数据包的TTL，且最接近这个TTL的默认值。

3. TTL字段长1个字节，所以TTL的最大值255； 通过查看数据包的TTL，可以确定网络传输是否正常。如果捕获到的数据包的TTL值过小，则表示网络中很可能存在传输故障，应及时检查网络中三层设备的路由表配置，以及各主机上的路由表信息。

````````````````````````````````````````````````````````````````````````````````````````` -A INPUT -p udp -m ttl --ttl-eq 98 -j DROP ; ttl eq 为 等于 = 98 就禁止 -A INPUT -p udp -m ttl --ttl-lt 45 -j DROP ;ttl lt为 小于 < 45 就禁止

````````````````````````

下面分析数据包

1、 使用wireshark 查看cap文件

找到 time to live: 128

攻击的服务器系统应该是windows 内网IP

在没有专用的防护设备的条件下，相对于攻击者而言，防御方在资源方面处于绝对的弱势。对攻击发生时的cap文件进行仔细的分析，找出攻击数据包与正常业务流量中有区别的地方，针对特定的数据进行封堵，能起到很大的防护作用。