"Te Conozco Mediante Tu TTL"
 mucho es el trabajo al hacer un information gathering en una auditoria o test de penetracion al tener delante de nosotros como si de un mounstruo se tratase nada mas ni nada menos que un FIREWALL o un IDS o IPS, que nos dificulta la tarea al enumerar el sistema operativo de la maquina victima.

aunque actualmente hay diversas tecnicas con el famoso nmap para evadir firewalls tales como la fragmentacion de paquetes para confundir a los sistemas defensivos de la red o generar un bad checksum con hping3 para ver como reaccionan tales defensas,  esta es una tecnica manual para "predecir" en cualquier circunstancia a que sistema operativo nos enfrentamos mediante si time to live o tiempo de vida, este contador es el que se genera desde la salida desde un nodo a otro nodo con el fin de que nuestros paquetes no esten dando vueltas alrededor de todo internet por la eternidad, este contador se auto-genera en cada router o salida hacia la red de redes,  el tiempo definido de este campo queda a criterio del tipo de red en que este establecida por ejemplo no sera el mismo time to live si estamos ante una gran infraestructura de red con sistemas criticos SCADA que una red de una empresa mediana, ya que sus valores varian desde la red interna, explicar el time to live ahora mismo seria un problema algo engorroso por lo cual solamente quedaria claro con la anterior definicion para el objetivo que nos toca cumplir en este articulo.

aunque las redes sean diferentes y los routers, protocolos y algoritmos cambien los valores, el host emisor o los clientes procesan los paquetes time to live de un modo "Estatico"  aunque algunas veces pueden cambiar (depende de los desarolladores de S.O) casi siempre eligen unos valores "Adecuados" que nos dan una pista de su sistema operativo, esto es como una "marca" para que podemos "Averiguar" que es lo que realmente hay detras del firewall.

dado que nuestro campo time to live ttl vale 8 bits , tenemos que elegir un valor arbitrario de 8, por ejemplo si deseamos modificar el valor con alguna herramienta como hping3, tenemos que escoger entre 8,16,32,64,128, etc, de lo contrario nos volcara un error.

 si el contador ttl llegase a 0 nuestro paquete se descarta y se elimina por completo de la red,  ademas el ttl varia en funcion de los algoritmos de enrutamiento que esten funcionando de la red en un preciso momento.

si hacemos un ping a algun lugar de "internet" y este valor se setea automaticamente a 128 significa que este nodo no deberia estar muy lejos, si en cambio observamos un valor de 54 significa que hay algunos nodos intermedios y este valor no esta muy cerca.