Ito ang command p0f na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
p0f - tukuyin ang mga malalayong sistema nang pasibo
SINOPSIS
p0f p0f [ -f file ] [ -i aparato ] [ -s file ] [ -o file ] [ -Q socket [ -0 ] ] [ -w file ]
[ -u gumagamit ] [ -c laki ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'filter tuntunin' ]
DESCRIPTION
p0f gumagamit ng fingerprinting technique batay sa pagsusuri sa istruktura ng isang TCP/IP packet sa
tukuyin ang operating system at iba pang mga katangian ng pagsasaayos ng isang malayuang host. Ang
Ang proseso ay ganap na pasibo at hindi bumubuo ng anumang kahina-hinalang trapiko sa network. Ang
ang ibang host ay kailangang alinman sa:
- kumonekta sa iyong network - kusang-loob man o sa isang sapilitan na paraan, halimbawa kapag
sinusubukang magtatag ng stream ng ftp data, nagbabalik ng bounce na mail, nagsasagawa ng auth lookup,
gamit ang IRC DCC, panlabas na html mail image reference at iba pa,
- o makipag-ugnayan ng ilang entity sa iyong network gamit ang ilang karaniwang paraan (tulad ng web
pagba-browse); maaari itong tanggapin o tanggihan ang koneksyon.
Ang pamamaraan ay maaaring makita sa pamamagitan ng packet firewalls at walang mga paghihigpit ng isang aktibo
fingerprinting. Ang mga pangunahing gamit ng passive OS fingerprinting ay ang attacker profiling (IDS at
honeypots), profile ng bisita (pag-optimize ng nilalaman), profile ng customer/user (patakaran
pagpapatupad), pen-testing, atbp.
Opsyon
-f file
basahin ang mga fingerprint mula sa file; bilang default, binabasa ng p0f ang mga lagda mula sa ./p0f.fp o
/etc/p0f/p0f.fp (ang huli sa mga Unix system lang). Magagamit mo ito para mag-load ng custom
data ng fingerprint. Ang pagtukoy ng maramihang -f na halaga ay HINDI magsasama ng ilang lagda
magkasama ang mga file.
-i aparato
makinig sa device na ito; Nagde-default ang p0f sa anumang device na itinuturing ng libpcap na ang
pinakamahusay (at madalas ay hindi). Sa ilang mas bagong system na maaari mong tukuyin
'anumang' para makinig sa lahat ng device, ngunit huwag umasa dito. Pagtukoy ng maramihang -i
ang mga halaga ay HINDI magiging sanhi ng p0f na makinig sa ilang mga interface nang sabay-sabay.
-s file
basahin ang mga packet mula sa tcpdump snapshot; ito ay isang alternatibong mode ng operasyon, sa
na p0f ang nagbabasa ng packet mula sa pcap data capture file, sa halip na isang live na network.
Kapaki-pakinabang para sa forensics (ito ay mag-parse ng tcpdump -w output, halimbawa).
Maaari mong gamitin ang text2pcap ng Ethereal upang i-convert ang mga bakas ng packet na nababasa ng tao sa pcap
mga file, kung kinakailangan.
-w file
nagsusulat ng tumutugmang mga packet sa isang tcpdump snapshot, bilang karagdagan sa fingerprinting;
kapaki-pakinabang kapag ipinapayong mag-save ng mga kopya ng aktwal na trapiko para sa pagsusuri.
-o file
sumulat sa logfile na ito. Ang pagpipiliang ito ay kinakailangan para sa -d at nagpapahiwatig -t.
-Q socket
makinig sa isang tinukoy na lokal na stream socket (isang filesystem object, halimbawa
/var/run/p0f-sock) para sa mga query. Ang isa ay maaaring magpadala ng isang packet sa socket na ito sa ibang pagkakataon
p0f_query structure mula sa p0f-query.h, at hintayin ang p0f_response. Ito ay isang pamamaraan
ng pagsasama ng p0f sa mga aktibong serbisyo (web server o mga web script, atbp). P0f ay
patuloy pa rin sa pag-uulat ng mga lagda sa karaniwang paraan - ngunit maaari mong gamitin ang -qKU
kumbinasyon upang sugpuin ito. Tingnan din ang -c na mga tala.
Ang isang sample na tool sa query (p0fq) ay ibinigay sa pagsubok/subdirectory. Mayroon ding isang
walang kuwenta perl pagpapatupad ng isang kliyente na magagamit.
TANDAAN: Ang socket ay gagawin na may mga pahintulot na naaayon sa iyong kasalukuyang
umask. Kung gusto mong paghigpitan ang pag-access sa interface na ito, mag-ingat.
-0 ituring ang source port 0 sa mga malalayong query bilang wildcard: maghanap ng anumang record para sa host na iyon.
Ito ay kapaki-pakinabang kapag bumubuo ng mga plugin para sa mga program na hindi pumasa sa source port
impormasyon sa subsystem na gumagamit ng p0f query; tandaan na ito ay nagpapakilala ng ilan
kalabuan, at ang ibinalik na tugma ay maaaring hindi para sa eksaktong koneksyon na pinag-uusapan
(-Q mode lamang).
-e ms packet capture window. Sa ilang system (lalo na sa mas lumang Suns), ang default
Hindi sapat ang pcap capture window na 1 ms, at maaaring walang mga packet ang p0f. Sa naturang a
kaso, ayusin ang parameter na ito sa pinakamaliit na halaga na nagreresulta sa maaasahan
operasyon (tandaan na maaari itong magpakilala ng ilang latency sa p0f). -c laki laki ng cache
para sa -Q at -M na mga opsyon. Ang default ay 128, na matino para sa isang sistema sa ilalim ng a
katamtamang pag-load ng network. Ang pagtatakda nito ng masyadong mataas ay magpapabagal sa p0f at maaaring magresulta sa
ilang -M false positive para sa mga dial-up node, dual-boot system, atbp. Nagse-set din nito
mababa ay magreresulta sa cache miss para sa -Q na opsyon. Upang piliin ang tamang halaga, gamitin ang
bilang ng mga koneksyon sa karaniwan sa bawat pagitan ng oras na gusto mong i-cache, pagkatapos
ipasa ito sa p0f na may -c.
Ang P0f, kapag tumakbo nang walang -q, ay nag-uulat din ng average na packet ratio sa paglabas. Pwede mong gamitin
ito upang matukoy ang pinakamainam na -c na setting. Ang pagpipiliang ito ay walang epekto kung hindi mo gagawin
gumamit ng -Q o -M.
-u gumagamit
pinipilit ng opsyong ito ang p0f na mag-chroot sa home directory ng user na ito pagkatapos basahin
configuration data at binding sa mga socket, pagkatapos ay lumipat sa kanyang UID, GID at
pandagdag na grupo.
Isa itong security feature para sa paranoid - kapag nagpapatakbo ng p0f sa daemon mode, ikaw
Maaaring naisin na lumikha ng isang bagong walang pribilehiyong user na may walang laman na direktoryo ng tahanan, at
limitahan ang pagkakalantad kapag nakompromiso ang p0f. Na sinabi, dapat tulad ng isang kompromiso
mangyari, ang umaatake ay magkakaroon pa rin ng socket na magagamit niya para sa pag-sniff ng ilang network
trapiko (mas mahusay kaysa sa rm -rf /).
-N pagbawalan ang hula; huwag mag-ulat ng mga distansya at mag-link ng media. Sa opsyong ito, p0f
nag-log lamang ng source IP at data ng OS.
-F mag-deploy ng fuzzy matching algorithm kung walang mga eksaktong tugma na nahanap (kasalukuyang naaangkop
sa TTL lamang). Ang opsyong ito ay hindi inirerekomenda para sa RST+ mode.
-D huwag mag-ulat ng mga detalye ng OS (genre lang). Kapaki-pakinabang ang opsyong ito kung ayaw mo ng p0f
upang ipaliwanag ang mga bersyon ng OS at tulad nito (pagsamahin sa -N).
-U huwag magpakita ng hindi kilalang mga lagda. Gamitin ang opsyong ito kung gusto mong panatilihin ang iyong log
malinis ang file at hindi interesado sa mga host na hindi nakikilala.
-K huwag magpakita ng mga kilalang lagda. Ang pagpipiliang ito ay kapaki-pakinabang kapag nagpapatakbo ka ng p0f
libangan at gustong makita ang mga UFO, o sa -Q o -M mode kapag pinagsama sa -U hanggang
pagbawalan ang lahat ng output.
-q manahimik - huwag magpakita ng mga banner at panatilihing mababa ang profile.
-p ilipat ang card sa promiscuous mode; bilang default, nakikinig lang ang p0f sa mga packet na tinutugunan
o dinadaan sa makinang pinapatakbo nito. Maaaring bawasan ng setting na ito ang performance,
depende sa disenyo at load ng iyong network. Sa mga naka-switch na network, karaniwan itong mayroon
maliit o walang epekto.
Tandaan na ang promiscuous mode sa mga IP-enabled na interface ay maaaring matukoy nang malayuan, at
minsan ay hindi tinatanggap ng mga administrator ng network.
-t magdagdag ng mga timestamp na nababasa ng tao sa bawat entry (gumamit ng maraming beses upang baguhin ang petsa
format, a la tcpdump).
-d pumunta sa daemon mode (alisin mula sa kasalukuyang terminal at tinidor sa background).
Nangangailangan -o.
-l naglalabas ng data sa istilong line-per-record (mas madaling i-grep).
-A isang semi-suportadong opsyon para sa SYN+ACK mode. Ang opsyong ito ay magdudulot ng p0f sa fingerprint
mga system kung saan ka kumonekta, kumpara sa mga system na kumokonekta sa iyo (default). Sa
ang opsyong ito, hahanapin ng p0f ang p0fa.fp file sa halip na ang karaniwang p0f.fp. Ang karaniwan
config ay HINDI ANGKOP para sa mode na ito.
Ang SYN+ACK signature database ay medyo maliit sa ngayon, ngunit angkop para sa
maraming gamit. Huwag mag-atubiling mag-ambag.
-R isang opsyon na halos hindi sinusuportahan para sa RST+ mode. Ipo-prompt ng opsyong ito ang p0f sa fingerprint
ilang iba't ibang uri ng trapiko, ang pinakamahalaga ay "tinanggihan ang koneksyon" at
"timeout" na mga mensahe.
Ang mode na ito ay katulad ng SYN+ACK (-A), maliban na hahanapin ngayon ng program
p0fr.fp. Ang karaniwang config ay HINDI ANGKOP para sa mode na ito. Maaaring kailanganin mo
pamilyar sa p0fr.fp bago ito gamitin.
-O ganap na eksperimentong bukas na koneksyon (stray ACK) fingerprinting mode. Dito sa
mode, susubukan ng p0f na walang pinipiling tukuyin ang OS sa lahat ng packet sa loob ng isang
naitatag na ang koneksyon.
Ang tanging paggamit ng mode na ito ay upang magsagawa ng agarang fingerprinting ng isang umiiral na
session. Dahil sa napakaraming output, pinapayuhan kang huwag magpatakbo ng p0f
sa mode na ito para sa pinalawig na panahon.
Gagamitin ng program ang p0fo.fp file para magbasa ng mga fingerprint. Ang karaniwang config ay HINDI
ANGkop para sa mode na ito. Huwag gumamit maliban kung alam mo kung ano ang iyong ginagawa. TANDAAN: Ang
Ang database ng p0fo.fp ay napakakaunting populasyon sa ngayon.
-r lutasin ang mga pangalan ng host; ang mode na ito ay MAS mabagal at nagdudulot ng ilang panganib sa seguridad. Huwag
gamitin maliban sa mga interactive na pagtakbo o mababang trapiko na sitwasyon. TANDAAN: ang opsyon LAMANG
niresolba ang IP address sa isang pangalan, at hindi nagsasagawa ng anumang mga pagsusuri para sa pagtutugma
baligtarin ang DNS. Kaya naman, ang pangalan ay maaaring ma-spoof - huwag umasa dito nang hindi sinusuri
dalawang beses.
-C magsagawa ng collision check sa mga lagda bago tumakbo. Ito ay isang mahalagang opsyon
sa tuwing magdaragdag ka ng mga bagong lagda sa mga .fp na file, ngunit hindi kinakailangan kung hindi man.
-x itapon ang buong nilalaman ng pakete; ang pagpipiliang ito ay hindi tugma sa -l at nilayon
para sa pag-debug at paghahambing ng packet lamang.
-X ipakita ang packet payload; bihira, ang mga control packet na aming sinusuri ay maaaring may kargamento.
Ito ay isang bug para sa default (SYN) at -A (SYN+ACK) na mga mode, ngunit ito ay (minsan)
katanggap-tanggap sa -R (RST+) mode.
-M i-deploy ang masquerade detection algorithm. Ang algorithm ay mukhang kamakailan lamang (naka-cach)
mga hit at naghahanap ng mga indikasyon ng maraming system na nasa likod ng iisang gateway.
Ito ay kapaki-pakinabang sa mga router at tulad nito upang matukoy ang mga paglabag sa patakaran. Tandaan na ang mode na ito
ay medyo mabagal dahil sa pag-cache at paghahanap. Gamitin nang may pag-iingat (o huwag gamitin sa
lahat) sa mga mode maliban sa default (SYN).
-T nn masquerade detection threshold; makabuluhan lamang sa -M, nagtatakda ng threshold para sa
pagbabalatkayo pag-uulat.
-V gumamit ng verbose masquerade detection reporting. Inilalarawan ng opsyong ito ang katayuan ng lahat
tagapagpahiwatig, hindi lamang isang pangkalahatang halaga.
-v paganahin ang suporta para sa mga frame na may tag na 802.1Q VLAN. Magagamit sa ilang mga interface, sa
iba pa, ay magreresulta sa BPF error.
Mga filter
Ang huling bahagi, 'panuntunan ng filter', ay isang bpf-style na filter na expression para sa mga papasok na packet. Ito ay
lubhang kapaki-pakinabang para sa pagbubukod o pagsasama ng ilang partikular na network, host, o partikular na packet, sa
ang logfile. Tingnan ang man tcpdump para sa higit pang impormasyon, ilang mga halimbawa:
'src port ftp-data'
´not dst net 10.0.0.0 mask 255.0.0.0´
´dst port 80 at ( src host 195.117.3.59 o src host 217.8.32.51 )´
Maaari ka ring gumamit ng kasamang log report utility para sa p0f. Patakbuhin lang ang 'p0frep' para sa tulong.
SEGURIDAD
Ang P0f, dahil sa pagiging simple nito, ay pinaniniwalaang mas ligtas kaysa sa ibang software na iyon
ay madalas na pinapatakbo para sa pagkuha ng packet (tcpdump, Ettercap, Ethereal, atbp). Mangyaring sundin
ang mga alituntunin sa seguridad na naka-post sa dokumentasyong ibinigay kasama ng package.
Gumamit ng p0f online gamit ang mga serbisyo ng onworks.net