p0f

プログラム：

NAME

p0f - リモート システムを受動的に識別します

SYNOPSIS

p0f p0f [ -f file ] [ -i デバイス ] [ -s file ] [ -o file ] [ -Q ソケット [ -0 ] ] [ -w file ]
[ -u user ] [ -c サイズ ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'フィルター ルール' ]

DESCRIPTION

p0f TCP/IP パケットの構造分析に基づくフィンガープリント技術を使用して、
オペレーティング システムおよびリモート ホストのその他の構成プロパティを決定します。 の
プロセスは完全に受動的であり、不審なネットワーク トラフィックは生成されません。 の
他のホストは次のいずれかを行う必要があります。

- ネットワークに接続します - 自発的または誘導的に、たとえば次のような場合に接続します。
FTP データ ストリームの確立を試行し、返送されたメールを返し、認証ルックアップを実行し、
IRC DCC、外部HTMLメール画像参照などを使用し、

- または、標準的な手段 (Web など) を使用してネットワーク上の何らかのエンティティから連絡を受ける。
ブラウジング）; 接続を受け入れるか拒否することができます。

この方法はパケット ファイアウォールを通過でき、アクティブなファイアウォールの制限はありません。
指紋採取。 パッシブ OS フィンガープリンティングの主な用途は、攻撃者のプロファイリング (IDS および
ハニーポット)、訪問者プロファイリング (コンテンツの最適化)、顧客/ユーザー プロファイリング (ポリシー
強制）、ペネトレーションテストなど。

OPTIONS

-f file
ファイルからフィンガープリントを読み取ります。 デフォルトでは、p0f は ./p0f.fp または
/etc/p0f/p0f.fp (後者は Unix システムのみ)。 これを使用してカスタムをロードできます
指紋データ。 複数の -f 値を指定しても、複数の署名は結合されません。
一緒にファイル。

-i デバイス
このデバイスで聞きます。 p0f のデフォルトは、libpcap が認識するデバイスです。
最高です（そうでないこともよくあります）。 一部の新しいシステムでは、次のように指定できる場合があります。
「any」はすべてのデバイスで聴くことができますが、これに依存しないでください。 複数の -i を指定する
値によって、p0f が複数のインターフェイスを同時にリッスンすることはありません。

-s file
tcpdump スナップショットからパケットを読み取ります。 これは代替動作モードです。
この p0f は、ライブ ネットワークではなく、pcap データ キャプチャ ファイルからパケットを読み取ります。
フォレンジックに役立ちます (これは、たとえば tcpdump -w 出力を解析します)。

Ethereal の text2pcap を使用して、人間が判読できるパケット トレースを pcap に変換できます。
必要に応じてファイルを追加します。

-w file
フィンガープリントに加えて、一致するパケットを tcpdump スナップショットに書き込みます。
レビューのために実際のトラフィックのコピーを保存することが望ましい場合に役立ちます。

-o file
このログファイルに書き込みます。 このオプションは -d に必須であり、-t を意味します。

-Q ソケット
指定されたローカル ストリーム ソケット (ファイル システム オブジェクトなど) でリッスンします。
/var/run/p0f-sock) クエリ用。 後でこのソケットにパケットを送信できます。
p0f-query.h から p0f_query 構造体を取得し、p0f_response を待ちます。 これは方法です
p0f とアクティブなサービス (Web サーバーや Web スクリプトなど) の統合。 P0fはします
通常の方法で署名のレポートを続行しますが、-qKU を使用することもできます
それを抑えるための組み合わせ。 -c に関する注意事項も参照してください。

サンプル クエリ ツール (p0fq) は test/ サブディレクトリに提供されています。 もあります。
クライアントの簡単な Perl 実装が利用可能です。

注: ソケットは、現在の権限に対応する権限で作成されます。
ウマスク。 このインターフェイスへのアクセスを制限する場合は、注意してください。

-0 リモート クエリのソース ポート 0 をワイルドカードとして扱います。そのホストのレコードを検索します。
これは、ソースポートを渡さないプログラムのプラグインを開発する場合に便利です。
p0f クエリを使用するサブシステムへの情報。 これはいくつかのことを紹介していることに注意してください
あいまいさがあるため、返された一致が問題の接続と正確に一致しない可能性があります。
(-Q モードのみ)。

-e ミリ秒パケットキャプチャウィンドウ。 一部のシステム (特に古い Sun) では、デフォルト
1 ミリ秒の pcap キャプチャ ウィンドウでは不十分であり、p0f はパケットを取得できない可能性があります。 そんな中で
この場合、信頼性の高い結果が得られる最小値にこのパラメータを調整します。
(これにより、p0f に多少の遅延が生じる可能性があることに注意してください)。 -c サイズキャッシュサイズ
-Q および -M オプションの場合。 デフォルトは 128 で、これはシステムの正常な値です。
中程度のネットワーク負荷。 設定値が高すぎると p0f が遅くなり、次のような結果が生じる可能性があります。
ダイヤルアップ ノード、デュアルブート システムなどの -M 誤検知がいくつかあります。これも設定してください
低い場合は、-Q オプションのキャッシュ ミスが発生します。 正しい値を選択するには、
キャッシュする時間間隔ごとの平均接続数、その後
-c を使用して p0f に渡します。

P0f は、-q を指定せずに実行すると、終了時に平均パケット率も報告します。 使用できます
これは、最適な -c 設定を決定するために使用されます。 そうしないと、このオプションは効果がありません。
-Q または -M を使用します。

-u user
このオプションは、読み取り後に p0f にこのユーザーのホーム ディレクトリへの chroot を強制します。
構成データとソケットへのバインディングを行ってから、UID、GID、および
補助グループ。

これは偏執的な人のためのセキュリティ機能です - p0f をデーモン モードで実行する場合、
空のホーム ディレクトリを持つ新しい非特権ユーザーを作成することもできます。
p0f が侵害された場合に露出を制限します。 とはいえ、そのような妥協は必要ではないでしょうか
この場合、攻撃者はネットワークを盗聴するために使用できるソケットをまだ持っていることになります。
トラフィック (rm -rf / よりも優れています)。

-N 推測を禁止します。 距離やリンクメディアを報告しないでください。 このオプションを使用すると、p0f
ソース IP と OS データのみをログに記録します。

-F 正確な一致が見つからない場合は、あいまい一致アルゴリズムを展開します (現在適用されています)
TTL のみ)。 このオプションは RST+ モードには推奨されません。

-D OS の詳細は報告しません (ジャンルのみ)。 このオプションは、p0f が必要ない場合に便利です。
OS バージョンなどについて詳しく説明します (-N と組み合わせます)。

-U 不明な署名は表示しません。 ログを保存したい場合は、このオプションを使用してください
ファイルはクリーンであり、認識されないホストには興味がありません。

-K 既知の署名を表示しません。 このオプションは、p0f を実行するときに便利です。
娯楽としてUFOを発見したい場合、または-Qまたは-Mモードで-Uと組み合わせて、
すべての出力を禁止します。

-q 静かにしてください - バナーを表示せず、目立たないようにしてください。

-p カードを無差別モードに切り替えます。 デフォルトでは、p0f はアドレス指定されたパケットのみをリッスンします。
または、それが実行されているマシン経由でルーティングされます。 この設定によりパフォーマンスが低下する可能性があります。
ネットワークの設計と負荷に応じて異なります。 スイッチド ネットワークでは、これは通常、
効果はほとんどないか、まったくありません。

IP 対応インターフェイスの無差別モードはリモートで検出できることに注意してください。
ネットワーク管理者によっては歓迎されない場合があります。

-t すべてのエントリに人間が判読できるタイムスタンプを追加します (日付を変更するには複数回使用します)
tcpdump 形式）。

-d デーモン モードに移行します (現在のターミナルから切り離し、バックグラウンドにフォークします)。
-o が必要です。

-l データをレコードごとの行形式で出力します (grep が容易です)。

-A SYN+ACK モードで準サポートされているオプション。 このオプションにより、p0f はフィンガープリントを実行します
あなたに接続するシステム (デフォルト) ではなく、あなたが接続するシステム。 と
このオプションを使用すると、p0f は通常の p0f.fp の代わりに p0fa.fp ファイルを探します。 いつもの
config はこのモードには適していません。

SYN+ACK 署名データベースは現時点では小規模ですが、次の用途に適しています。
多くの用途。 ぜひご参加ください。

-R RST+ モードではかろうじてサポートされているオプションです。 このオプションは、p0f にフィンガープリントを要求します。
いくつかの異なるタイプのトラフィック、最も重要なのは「接続が拒否されました」
「タイムアウト」メッセージ。

このモードは SYN+ACK (-A) と似ていますが、プログラムが次の検索を行う点が異なります。
p0fr.fp。 通常の設定はこのモードには適していません。 そうする必要があるかもしれません
p0fr.fp を使用する前によく理解してください。

-O 完全に実験的なオープン接続 (浮遊 ACK) フィンガープリンティング モード。 この中で
モードでは、p0f は、パケット内のすべてのパケットで OS を無差別に識別しようとします。
すでに接続が確立されています。

このモードの唯一の使用法は、既存のファイルの即時フィンガープリントを実行することです。
セッション。 出力量が膨大であるため、p0f を実行しないことをお勧めします。
このモードを長時間使用した場合。

プログラムは、p0fo.fp ファイルを使用して指紋を読み取ります。 通常の設定はそうではありません
このモードに適しています。 自分が何をしているのか理解していない場合は使用しないでください。 注:
現時点では、p0fo.fp データベースにはデータが非常にまばらに存在しています。

-r ホスト名を解決します。 このモードは非常に遅く、セキュリティ上のリスクが生じます。 しないでください
インタラクティブな実行またはトラフィックの少ない状況を除いて使用してください。 注: オプションのみ
IP アドレスを名前に解決し、一致するかどうかのチェックは実行しません。
逆引きDNS。 したがって、名前は偽装されている可能性があります。確認せずに名前に依存しないでください。
二度。

-C 実行前に署名の衝突チェックを実行します。 これは必須のオプションです
.fp ファイルに新しい署名を追加するときは常に必要ですが、それ以外の場合は必要ありません。

-x パケットの完全な内容をダンプします。 このオプションは -l と互換性がなく、意図されています。
デバッグとパケット比較のみに使用されます。

-X パケットペイロードを表示します。 まれに、調査する制御パケットにペイロードが含まれる場合があります。
これはデフォルト (SYN) および -A (SYN+ACK) モードのバグですが、(場合によっては)
-R (RST+) モードで許容されます。

-M マスカレード検出アルゴリズムを導入します。 アルゴリズムは最近の (キャッシュされた) ものを調べます
単一のゲートウェイの背後にある複数のシステムの兆候をヒットして探します。
これはルーターなどでポリシー違反を検出するのに役立ちます。 このモードでは注意してください
キャッシュとルックアップのため、多少遅くなります。 慎重に使用してください（または次のような状態では使用しないでください）
すべて) デフォルト (SYN) 以外のモード。

-T nn マスカレード検出しきい値。 -M を使用した場合にのみ意味があり、しきい値を設定します。
仮面舞踏会のレポート。

-V 詳細なマスカレード検出レポートを使用します。 このオプションは、すべてのステータスを説明します。
全体的な値だけでなく、指標も考慮します。

-v 802.1Q VLAN タグ付きフレームのサポートを有効にします。 一部のインターフェースで利用可能
それ以外の場合は、BPF エラーが発生します。

FILTERS

最後の部分「フィルター ルール」は、受信パケットに対する BPF スタイルのフィルター式です。 それは
特定のネットワーク、ホスト、または特定のパケットを除外または含める場合に非常に役立ちます。
ログファイル。 詳細といくつかの例については、man tcpdump を参照してください。

「src port ftp-data」

'not dst net 10.0.0.0 mask 255.0.0.0'

「dst ポート 80 および (送信元ホスト 195.117.3.59 または送信元ホスト 217.8.32.51)」

p0f のコンパニオン ログ レポート ユーティリティを使用することもできます。 ヘルプが必要な場合は、「p0frep」を実行してください。

SECURITY

P0f はそのシンプルさにより、他のソフトウェアよりもかなり安全であると考えられています。
パケット キャプチャ (tcpdump、Ettercap、Ethereal など) のために実行されることがよくあります。 従ってください
パッケージに付属のドキュメントに掲載されているセキュリティ ガイドライン。

onworks.net サービスを使用して p0f オンラインを使用する