p0f

কার্যক্রম:

NAME এর

p0f - নিষ্ক্রিয়ভাবে দূরবর্তী সিস্টেম সনাক্ত করুন

সাইনোপিসিস

p0f p0f [ -f ফাইল ] [ -i যন্ত্র ] [ -s ফাইল ] [ -o ফাইল ] [ -Q সকেট [ -0 ] ] [ -w ফাইল ]
[ -u ব্যবহারকারী ] [ -c আয়তন ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'ছাঁকনি নিয়ম' ]

বর্ণনাঃ

p0f একটি TCP/IP প্যাকেটের গঠন বিশ্লেষণের উপর ভিত্তি করে একটি ফিঙ্গারপ্রিন্টিং কৌশল ব্যবহার করে
দূরবর্তী হোস্টের অপারেটিং সিস্টেম এবং অন্যান্য কনফিগারেশন বৈশিষ্ট্য নির্ধারণ করুন। দ্য
প্রক্রিয়াটি সম্পূর্ণ প্যাসিভ এবং কোনো সন্দেহজনক নেটওয়ার্ক ট্রাফিক তৈরি করে না। দ্য
অন্য হোস্টকে হয়:

- আপনার নেটওয়ার্কের সাথে সংযোগ করুন - হয় স্বতঃস্ফূর্তভাবে বা প্ররোচিত পদ্ধতিতে, উদাহরণস্বরূপ কখন
একটি এফটিপি ডেটা স্ট্রিম স্থাপন করার চেষ্টা করা, একটি বাউন্সড মেল ফেরত দেওয়া, প্রমাণীকরণ অনুসন্ধান করা,
আইআরসি ডিসিসি, বহিরাগত এইচটিএমএল ইমেজ রেফারেন্স এবং আরও অনেক কিছু ব্যবহার করে,

- অথবা কিছু স্ট্যান্ডার্ড উপায় (যেমন ওয়েব
ব্রাউজিং); এটি সংযোগটি গ্রহণ বা প্রত্যাখ্যান করতে পারে।

পদ্ধতিটি প্যাকেট ফায়ারওয়ালের মাধ্যমে দেখতে পারে এবং এতে সক্রিয়ের সীমাবদ্ধতা নেই
আঙ্গুলের ছাপ প্যাসিভ ওএস ফিঙ্গারপ্রিন্টিংয়ের প্রধান ব্যবহার হল আক্রমণকারী প্রোফাইলিং (আইডিএস এবং
honeypots), ভিজিটর প্রোফাইলিং (কন্টেন্ট অপ্টিমাইজেশান), গ্রাহক/ব্যবহারকারীর প্রোফাইলিং (নীতি)
এনফোর্সমেন্ট), কলম-পরীক্ষা, ইত্যাদি

বিকল্প

-f ফাইল
ফাইল থেকে আঙ্গুলের ছাপ পড়ুন; ডিফল্টরূপে, p0f ./p0f.fp বা থেকে স্বাক্ষর পড়ে
/etc/p0f/p0f.fp (শুধুমাত্র ইউনিক্স সিস্টেমে পরেরটি)। আপনি কাস্টম লোড করতে এটি ব্যবহার করতে পারেন
ফিঙ্গারপ্রিন্ট ডেটা। একাধিক -f মান নির্দিষ্ট করলে একাধিক স্বাক্ষর একত্রিত হবে না
ফাইল একসাথে।

-i যন্ত্র
এই ডিভাইসে শুনুন; p0f ডিফল্ট যা ডিভাইস libpcap বলে মনে করে
সেরা (এবং যা প্রায়ই হয় না)। কিছু নতুন সিস্টেমে আপনি নির্দিষ্ট করতে সক্ষম হতে পারেন
সমস্ত ডিভাইসে শুনতে 'any', কিন্তু এর উপর নির্ভর করবেন না। একাধিক নির্দিষ্ট করা - i
মান p0f একসাথে একাধিক ইন্টারফেসে শোনার কারণ হবে না।

-s ফাইল
tcpdump স্ন্যাপশট থেকে প্যাকেট পড়ুন; এটি অপারেশনের একটি বিকল্প মোড, ইন
যা p0f একটি লাইভ নেটওয়ার্কের পরিবর্তে pcap ডেটা ক্যাপচার ফাইল থেকে প্যাকেট পড়ে।
ফরেনসিকের জন্য দরকারী (এটি tcpdump -w আউটপুট পার্স করবে, উদাহরণস্বরূপ)।

মানব-পাঠযোগ্য প্যাকেট ট্রেসকে pcap-এ রূপান্তর করতে আপনি Ethereal এর text2pcap ব্যবহার করতে পারেন
ফাইল, প্রয়োজন হলে।

-w ফাইল
ফিঙ্গারপ্রিন্টিং ছাড়াও একটি tcpdump স্ন্যাপশটে ম্যাচিং প্যাকেট লেখে;
দরকারী যখন পর্যালোচনার জন্য প্রকৃত ট্র্যাফিকের কপি সংরক্ষণ করার পরামর্শ দেওয়া হয়।

-o ফাইল
এই লগফাইল লিখুন. এই বিকল্পটি -d এর জন্য প্রয়োজন এবং বোঝায় -t।

-Q সকেট
একটি নির্দিষ্ট স্থানীয় স্ট্রিম সকেটে শুনুন (একটি ফাইল সিস্টেম অবজেক্ট, উদাহরণস্বরূপ
/var/run/p0f-sock) প্রশ্নের জন্য। কেউ পরে এই সকেটে একটি প্যাকেট পাঠাতে পারে
p0f-query.h থেকে p0f_query গঠন, এবং p0f_response জন্য অপেক্ষা করুন। এটি একটি পদ্ধতি
সক্রিয় পরিষেবাগুলির (ওয়েব সার্ভার বা ওয়েব স্ক্রিপ্ট, ইত্যাদি) সঙ্গে p0f একীভূত করা। P0f হবে
এখনও স্বাভাবিক উপায়ে স্বাক্ষর রিপোর্ট করা চালিয়ে যান - তবে আপনি -qKU ব্যবহার করতে পারেন
এই দমন করার জন্য সমন্বয়. এছাড়াও -c নোট দেখুন।

একটি নমুনা ক্যোয়ারী টুল (p0fq) পরীক্ষা/সাবডিরেক্টরিতে প্রদান করা হয়। এখানে আরো একটা
উপলব্ধ একটি ক্লায়েন্ট তুচ্ছ পার্ল বাস্তবায়ন.

দ্রষ্টব্য: সকেটটি আপনার বর্তমানের সাথে সম্পর্কিত অনুমতিগুলির সাথে তৈরি করা হবে
উমাস্ক আপনি যদি এই ইন্টারফেসে অ্যাক্সেস সীমাবদ্ধ করতে চান তবে সতর্কতা অবলম্বন করুন।

-0 রিমোট কোয়েরিতে সোর্স পোর্ট 0 কে ওয়াইল্ডকার্ড হিসাবে বিবেচনা করুন: সেই হোস্টের জন্য কোনো রেকর্ড খুঁজুন।
সোর্স পোর্ট পাস করে না এমন প্রোগ্রামগুলির জন্য প্লাগইন তৈরি করার সময় এটি কার্যকর
সাবসিস্টেমের তথ্য যা p0f কোয়েরি ব্যবহার করে; নোট করুন যে এটি কিছু পরিচয় করিয়ে দেয়
অস্পষ্টতা, এবং প্রত্যাবর্তিত ম্যাচটি প্রশ্নে সঠিক সংযোগের জন্য নাও হতে পারে
(শুধুমাত্র Q মোড)।

-e ms প্যাকেট ক্যাপচার উইন্ডো। কিছু সিস্টেমে (বিশেষ করে পুরানো সূর্যে), ডিফল্ট
1 ms এর pcap ক্যাপচার উইন্ডো অপর্যাপ্ত, এবং p0f কোনো প্যাকেট নাও পেতে পারে। যেমন একটি
ক্ষেত্রে, এই প্যারামিটারটিকে সবচেয়ে ছোট মানের সাথে সামঞ্জস্য করুন যার ফলাফল নির্ভরযোগ্য
অপারেশন (উল্লেখ্য যে এটি p0f-এ কিছু লেটেন্সি প্রবর্তন করতে পারে)। -c আকার ক্যাশে আকার
-Q এবং -M বিকল্পগুলির জন্য। ডিফল্ট হল 128, যা a এর অধীনে একটি সিস্টেমের জন্য বুদ্ধিমান
মাঝারি নেটওয়ার্ক লোড। এটিকে খুব বেশি সেট করলে p0f ধীর হয়ে যাবে এবং ফলাফল হতে পারে
ডায়াল-আপ নোড, ডুয়াল-বুট সিস্টেম ইত্যাদির জন্য কিছু -M মিথ্যা ইতিবাচক। এটিও সেট করা হচ্ছে
কম ফলে -Q বিকল্পের জন্য ক্যাশে মিস হবে। সঠিক মান নির্বাচন করতে, ব্যবহার করুন
আপনি ক্যাশে করতে চান সময়ের ব্যবধানে গড়ে সংযোগের সংখ্যা, তারপর
-c দিয়ে p0f এ পাস করুন।

P0f, -q ছাড়া চালানো হলে, প্রস্থান করার সময় গড় প্যাকেট অনুপাতও রিপোর্ট করে। তুমি ব্যবহার করতে পার
এটি সর্বোত্তম -c সেটিং নির্ধারণ করতে। আপনি যদি না করেন তবে এই বিকল্পটির কোন প্রভাব নেই
-Q বা -M ব্যবহার করুন।

-u ব্যবহারকারী
এই বিকল্পটি পড়ার পরে এই ব্যবহারকারীর হোম ডিরেক্টরিতে p0f কে ক্রুট করতে বাধ্য করে
কনফিগারেশন ডেটা এবং সকেটের সাথে বাইন্ডিং, তারপর তার UID, GID এবং
পরিপূরক গ্রুপ।

প্যারানয়েডের জন্য এটি একটি নিরাপত্তা বৈশিষ্ট্য - যখন ডেমন মোডে p0f চালান, আপনি
একটি খালি হোম ডিরেক্টরি সহ একটি নতুন সুবিধাবিহীন ব্যবহারকারী তৈরি করতে চাইতে পারে, এবং
যখন p0f আপস করা হয় তখন এক্সপোজার সীমিত করুন। যে বলেন, যেমন একটি আপস করা উচিত
ঘটবে, আক্রমণকারীর কাছে এখনও একটি সকেট থাকবে যা সে কিছু নেটওয়ার্ক শুঁকে ব্যবহার করতে পারে
ট্রাফিক (rm -rf / এর চেয়ে ভাল)।

-N অনুমান কাজ বাধা; দূরত্ব এবং লিঙ্ক মিডিয়া রিপোর্ট করবেন না. এই বিকল্পের সাথে, p0f
লগ শুধুমাত্র উৎস আইপি এবং OS ডেটা।

-F কোনো সুনির্দিষ্ট মিল না পাওয়া গেলে অস্পষ্ট ম্যাচিং অ্যালগরিদম স্থাপন করুন (বর্তমানে প্রযোজ্য
শুধুমাত্র TTL এর জন্য)। এই বিকল্পটি RST+ মোডের জন্য সুপারিশ করা হয় না।

-D OS বিবরণ রিপোর্ট করবেন না (শুধু জেনার)। আপনি p0f না চাইলে এই বিকল্পটি কার্যকর
OS সংস্করণ এবং এ জাতীয় (-N এর সাথে একত্রিত করুন) সম্পর্কে বিস্তারিত জানাতে।

-U অজানা স্বাক্ষর প্রদর্শন করবেন না। আপনি যদি আপনার লগ রাখতে চান তবে এই বিকল্পটি ব্যবহার করুন৷
ফাইল পরিষ্কার এবং স্বীকৃত নয় এমন হোস্টগুলিতে আগ্রহী নন।

-K পরিচিত স্বাক্ষর প্রদর্শন করবেন না। আপনি p0f চালালে এই বিকল্পটি কার্যকর
বিনোদনমূলকভাবে এবং UFOs দেখতে চান, অথবা -Q বা -M মোডে -U এর সাথে মিলিত হলে
সব আউটপুট বাধা.

-q শান্ত থাকুন - ব্যানার প্রদর্শন করবেন না এবং লো প্রোফাইল রাখবেন না।

-p প্রমিসকিউয়াস মোডে কার্ড স্যুইচ করুন; ডিফল্টরূপে, p0f শুধুমাত্র সম্বোধন করা প্যাকেটগুলিই শোনে
বা এটি যে মেশিনে চলে তার মাধ্যমে রুট করা হয়। এই সেটিং কর্মক্ষমতা হ্রাস করতে পারে,
আপনার নেটওয়ার্ক ডিজাইন এবং লোড উপর নির্ভর করে। সুইচড নেটওয়ার্কে, এটি সাধারণত থাকে
সামান্য বা কোন প্রভাব।

মনে রাখবেন যে আইপি-সক্ষম ইন্টারফেসে প্রমিসকিউয়াস মোড দূরবর্তীভাবে সনাক্ত করা যেতে পারে, এবং
কখনও কখনও নেটওয়ার্ক অ্যাডমিনিস্ট্রেটরদের দ্বারা স্বাগত হয় না।

-t প্রতিটি এন্ট্রিতে মানব-পাঠযোগ্য টাইমস্ট্যাম্প যোগ করুন (তারিখ পরিবর্তন করতে একাধিকবার ব্যবহার করুন
বিন্যাস, একটি la tcpdump)।

-d ডেমন মোডে যান (বর্তমান টার্মিনাল থেকে বিচ্ছিন্ন করুন এবং পটভূমিতে কাঁটাচামচ করুন)।
প্রয়োজন -o.

-l লাইন-প্রতি-রেকর্ড শৈলীতে ডেটা আউটপুট করে (গ্রেপ করা সহজ)।

-A SYN+ACK মোডের জন্য একটি আধা-সমর্থিত বিকল্প। এই বিকল্পটি p0f থেকে ফিঙ্গারপ্রিন্ট করবে
আপনার সাথে সংযোগকারী সিস্টেমের বিপরীতে আপনার সাথে সংযোগকারী সিস্টেমগুলি (ডিফল্ট)। সঙ্গে
এই বিকল্প, p0f স্বাভাবিক p0f.fp এর পরিবর্তে p0fa.fp ফাইলের সন্ধান করবে। যথা রীতি
কনফিগারেশন এই মোডের জন্য উপযুক্ত নয়।

SYN+ACK স্বাক্ষর ডাটাবেস এই মুহূর্তে ছোট, কিন্তু উপযুক্ত
অনেক ব্যবহার। অবদান নির্দ্বিধায়.

-R RST+ মোডের জন্য একটি সবে-সমর্থিত বিকল্প। এই বিকল্পটি p0f ফিঙ্গারপ্রিন্টের জন্য অনুরোধ করবে
বিভিন্ন ধরনের ট্রাফিক, সবচেয়ে গুরুত্বপূর্ণভাবে "সংযোগ প্রত্যাখ্যান" এবং
"সময় শেষ" বার্তা।

এই মোডটি SYN+ACK (-A) এর অনুরূপ, প্রোগ্রামটি এখন খুঁজবে তা ছাড়া
p0fr.fp সাধারণ কনফিগারেশন এই মোডের জন্য উপযুক্ত নয়। আপনি হতে পারে
এটি ব্যবহার করার আগে p0fr.fp এর সাথে নিজেকে পরিচিত করুন।

-O একেবারে পরীক্ষামূলক খোলা সংযোগ (স্ট্রে ACK) ফিঙ্গারপ্রিন্টিং মোড। এই
মোড, p0f একটি এর মধ্যে সমস্ত প্যাকেটের উপর নির্বিচারে OS সনাক্ত করার চেষ্টা করবে
ইতিমধ্যে সংযোগ স্থাপন করা হয়েছে।

এই মোডের একমাত্র ব্যবহার একটি বিদ্যমান একটি অবিলম্বে আঙ্গুলের ছাপ সঞ্চালন হয়
সেশন. আউটপুটের নিছক পরিমাণের কারণে, আপনাকে p0f চালানোর বিরুদ্ধে পরামর্শ দেওয়া হয়
বর্ধিত সময়ের জন্য এই মোডে।

আঙ্গুলের ছাপ পড়ার জন্য প্রোগ্রাম p0fo.fp ফাইল ব্যবহার করবে। স্বাভাবিক কনফিগারেশন নয়
এই মোড জন্য উপযুক্ত. আপনি কি করছেন তা না জানলে ব্যবহার করবেন না। দ্রষ্টব্য: The
p0fo.fp ডাটাবেস এই মুহূর্তে খুব কম জনবহুল।

-r হোস্ট নাম সমাধান; এই মোডটি অনেক ধীর এবং কিছু নিরাপত্তা ঝুঁকি তৈরি করে। করো না
ইন্টারেক্টিভ রান বা কম ট্রাফিক পরিস্থিতি ছাড়া ব্যবহার করুন। দ্রষ্টব্য: শুধুমাত্র বিকল্প
IP ঠিকানাকে একটি নামে সমাধান করে, এবং মিলের জন্য কোনো পরীক্ষা করে না
বিপরীত DNS। অতএব, নামটি জালিয়াতি হতে পারে - যাচাই না করে এটির উপর নির্ভর করবেন না
দুইবার।

-C সঞ্চালন পূর্বে স্বাক্ষর উপর সংঘর্ষ চেক. এটি একটি অপরিহার্য বিকল্প
যখনই আপনি .fp ফাইলগুলিতে নতুন স্বাক্ষর যোগ করেন, তবে অন্যথায় এটি প্রয়োজনীয় নয়।

-x সম্পূর্ণ প্যাকেট বিষয়বস্তু ডাম্প; এই বিকল্পটি -l এর সাথে সামঞ্জস্যপূর্ণ নয় এবং এটি উদ্দেশ্যমূলক
শুধুমাত্র ডিবাগিং এবং প্যাকেট তুলনার জন্য।

-X প্রদর্শন প্যাকেট পেলোড; কদাচিৎ, আমরা যে কন্ট্রোল প্যাকেটগুলি পরীক্ষা করি তা একটি পেলোড বহন করতে পারে।
এটি ডিফল্ট (SYN) এবং -A (SYN+ACK) মোডগুলির জন্য একটি বাগ, তবে এটি (কখনও কখনও)
-R (RST+) মোডে গ্রহণযোগ্য।

-M মাশকারেড সনাক্তকরণ অ্যালগরিদম স্থাপন করুন। অ্যালগরিদম সাম্প্রতিক (ক্যাশে করা) দেখে
হিট এবং একটি একক গেটওয়ের পিছনে একাধিক সিস্টেমের ইঙ্গিত খোঁজে।
এটি রাউটার এবং নীতি লঙ্ঘন সনাক্ত করার জন্য দরকারী। উল্লেখ্য যে এই মোড
ক্যাশিং এবং লুকআপের কারণে কিছুটা ধীর। সতর্কতার সাথে ব্যবহার করুন (অথবা ব্যবহার করবেন না
সব) ডিফল্ট (SYN) ছাড়া অন্য মোডে।

-T nn মাশকারেড সনাক্তকরণ থ্রেশহোল্ড; শুধুমাত্র -M এর সাথে অর্থপূর্ণ, এর জন্য থ্রেশহোল্ড সেট করে
মাশকারেড রিপোর্টিং.

-V ভার্বোস মাস্কারেড সনাক্তকরণ রিপোর্টিং ব্যবহার করুন। এই বিকল্পটি সকলের অবস্থা বর্ণনা করে
সূচক, শুধুমাত্র একটি সামগ্রিক মান নয়।

-v 802.1Q VLAN ট্যাগযুক্ত ফ্রেমের জন্য সমর্থন সক্ষম করুন। কিছু ইন্টারফেসে উপলব্ধ, চালু
অন্য, BPF ত্রুটির ফলে হবে।

ফিল্টারগুলি

শেষ অংশ, 'ফিল্টার নিয়ম', ইনকামিং প্যাকেটের জন্য একটি bpf-স্টাইল ফিল্টার এক্সপ্রেশন। এটাই
নির্দিষ্ট নেটওয়ার্ক, হোস্ট, বা নির্দিষ্ট প্যাকেটগুলি বাদ দেওয়া বা অন্তর্ভুক্ত করার জন্য খুব দরকারী
লগফাইল আরও তথ্যের জন্য man tcpdump দেখুন, কয়েকটি উদাহরণ:

'src পোর্ট ftp-data'

'ডিএসটি নেট 10.0.0.0 মাস্ক 255.0.0.0' নয়

'dst পোর্ট 80 এবং ( src হোস্ট 195.117.3.59 বা src হোস্ট 217.8.32.51 )'

আপনি p0f এর জন্য একটি সহচর লগ রিপোর্ট ইউটিলিটি ব্যবহার করতে পারেন। সাহায্যের জন্য শুধু 'p0frep' চালান।

নিরাপত্তা

P0f, এর সরলতার কারণে, অন্যান্য সফ্টওয়্যারগুলির তুলনায় যথেষ্ট নিরাপদ বলে মনে করা হয়
প্রায়শই প্যাকেট ক্যাপচারের জন্য চালানো হয় (tcpdump, Ettercap, Ethereal, ইত্যাদি)। অনুসরণ করুন
প্যাকেজের সাথে সরবরাহ করা ডকুমেন্টেশনে পোস্ট করা নিরাপত্তা নির্দেশিকা।

onworks.net পরিষেবা ব্যবহার করে অনলাইনে p0f ব্যবহার করুন