p0f

程序：

您的姓名

p0f - 被动识别远程系统

概要

p0f p0f [ -f 文件 ] [ -i 设备 ] [ -s 文件 ] [ -o 文件 ] [ -Q 插座 [ -0 ] ] [ -w 文件 ]
[ -u 用户 ] [ -c 尺寸 ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ '筛选 规则' ]

商品描述

p0f 使用基于分析 TCP/IP 数据包结构的指纹识别技术
确定远程主机的操作系统和其他配置属性。 这
进程是完全被动的，不会产生任何可疑的网络流量。 这
其他主机必须：

- 连接到您的网络 - 自发或以诱导方式，例如当
尝试建立 ftp 数据流，返回退回的邮件，执行身份验证查找，
使用 IRC DCC、外部 html 邮件图像引用等，

- 或者被您网络上的某个实体使用某种标准方式（例如网络
浏览）； 它可以接受或拒绝连接。

该方法可以通过数据包防火墙看到，并且没有活动的限制
指纹。 被动操作系统指纹的主要用途是攻击者分析（IDS 和
蜜罐）、访客分析（内容优化）、客户/用户分析（政策
执行）、渗透测试等。

配置

-f 文件
从文件中读取指纹； 默认情况下，p0f 从 ./p0f.fp 或
/etc/p0f/p0f.fp（后者仅在 Unix 系统上）。 您可以使用它来加载自定义
指纹数据。 指定多个 -f 值不会组合多个签名
文件在一起。

-i 设备
在此设备上收听； p0f 默认为 libpcap 认为的任何设备
最好的（通常不是）。 在某些较新的系统上，您可能能够指定
'any' 在所有设备上收听，但不要依赖于此。 指定多个 -i
值不会导致 p0f 一次侦听多个接口。

-s 文件
从 tcpdump 快照中读取数据包； 这是另一种操作模式，在
p0f 从 pcap 数据捕获文件而不是实时网络读取数据包。
对取证有用（例如，这将解析 tcpdump -w 输出）。

您可以使用 Ethereal 的 text2pcap 将人类可读的数据包跟踪转换为 pcap
文件，如果需要。

-w 文件
除了指纹识别外，还将匹配的数据包写入 tcpdump 快照；
在建议保存实际流量的副本以供查看时很有用。

-o 文件
写入此日志文件。 -d 需要此选项并暗示 -t。

-Q 插座
侦听指定的本地流套接字（文件系统对象，例如
/var/run/p0f-sock) 用于查询。 稍后可以将数据包发送到此套接字
p0f-query.h 中的 p0f_query 结构，并等待 p0f_response。 这是一个方法
将 p0f 与活动服务（Web 服务器或 Web 脚本等）集成。 P0f 会
仍然继续以通常的方式报告签名 - 但你可以使用 -qKU
组合来压制这个。 另请参阅 -c 注释。

test/ 子目录中提供了一个示例查询工具 (p0fq)。 还有一个
一个可用的客户端的简单 perl 实现。

注意：套接字将使用与您当前的权限相对应的权限创建
面具。 如果您想限制对该界面的访问，请谨慎使用。

-0 将远程查询中的源端口 0 视为通配符：查找该主机的任何记录。
这在为不通过源端口的程序开发插件时很有用
使用 p0f 查询的子系统的信息； 请注意，这引入了一些
歧义，并且返回的匹配可能不是所讨论的确切连接
（仅限 -Q 模式）。

-e ms 数据包捕获窗口。 在某些系统上（特别是在较旧的 Sun 上），默认
1ms的pcap捕获窗口不够用，p0f可能收不到包。 在这样一个
在这种情况下，将此参数调整为导致可靠的最小值
操作（请注意，这可能会给 p0f 带来一些延迟）。 -c 大小缓存大小
对于 -Q 和 -M 选项。 默认值是 128，这对于一个
中等网络负载。 将它设置得太高会减慢 p0f 并可能导致
拨号节点、双引导系统等的一些 -M 误报。也设置它
低将导致 -Q 选项的缓存未命中。 要选择正确的值，请使用
每个要缓存的时间间隔的平均连接数，然后
使用 -c 将其传递给 p0f。

P0f，在没有 -q 的情况下运行时，还会报告退出时的平均数据包率。 您可以使用
这是为了确定最佳的 -c 设置。 如果您不这样做，则此选项无效
使用 -Q 或 -M。

-u 用户
此选项强制 p0f 在读取后 chroot 到此用户的主目录
配置数据并绑定到套接字，然后切换到他的 UID、GID 和
补充组。

这是偏执狂的安全功能 - 在守护程序模式下运行 p0f 时，您
可能想要创建一个具有空主目录的新的非特权用户，并且
当 p0f 受到损害时限制暴露。 也就是说，如果这样的妥协
发生，攻击者仍然有一个套接字可以用来嗅探一些网络
流量（比 rm -rf / 好）。

-N 禁止猜测； 不要报告距离和链接媒体。 使用此选项，p0f
仅记录源 IP 和操作系统数据。

-F 如果未找到精确匹配，则部署模糊匹配算法（当前适用
仅到 TTL）。 对于 RST+ 模式，不建议使用此选项。

-D 不要报告操作系统详细信息（只是类型）。 如果您不想要 p0f，此选项很有用
详细说明操作系统版本等（与 -N 结合）。

-U 不显示未知签名。 如果您想保留日志，请使用此选项
文件干净并且对无法识别的主机不感兴趣。

-K 不显示已知签名。 这个选项在你运行 p0f 时很有用
娱乐性地想要发现不明飞行物，或者在与 -U 结合使用时处于 -Q 或 -M 模式
禁止所有输出。

-q 保持安静 - 不要显示横幅并保持低调。

-p 将卡切换到混杂模式； 默认情况下，p0f 仅侦听寻址的数据包
或通过它运行的机器路由。 此设置可能会降低性能，
取决于您的网络设计和负载。 在交换网络上，这通常具有
影响很小或没有影响。

请注意，可以远程检测启用 IP 的接口上的混杂模式，并且
有时不受网络管理员欢迎。

-t 为每个条目添加人类可读的时间戳（使用多次更改日期
格式，a la tcpdump）。

-d 进入守护进程模式（从当前终端分离并分叉到后台）。
需要 -o。

-l 以每条记录的方式输出数据（更容易 grep）。

-A SYN+ACK 模式的半支持选项。 此选项将导致 p0f 指纹
您连接到的系统，而不是连接到您的系统（默认）。 和
这个选项，p0f 将寻找 p0fa.fp 文件而不是通常的 p0f.fp。 通常
config 不适合这种模式。

SYN+ACK 签名数据库目前有点小，但适用于
许多用途。 随意贡献。

-R 几乎不支持 RST+ 模式的选项。 此选项将提示 p0f 指纹
几种不同类型的流量，最重要的是“连接被拒绝”和
“超时”消息。

这种模式类似于 SYN+ACK (-A)，只不过程序现在会寻找
p0fr.fp 通常的配置不适合这种模式。 你可能不得不
在使用之前先熟悉 p0fr.fp。

-O 绝对实验性的开放连接（杂散ACK）指纹识别模式。 在这
模式，p0f 将尝试不加选择地识别一个内所有数据包的操作系统
已经建立的连接。

此模式的唯一用途是立即对现有的指纹进行指纹识别。
会议。 由于输出量很大，建议您不要运行 p0f
长时间处于这种模式。

程序将使用 p0fo.fp 文件读取指纹。 通常的配置不是
适合这种模式。 除非您知道自己在做什么，否则请勿使用。 注意：
p0fo.fp 数据库目前非常稀少。

-r 解析主机名； 这种模式要慢得多并带来一些安全风险。 不要
除交互式运行或低流量情况外使用。 注意：仅选项
将 IP 地址解析为名称，并且不执行任何匹配检查
反向 DNS。 因此，名称可能被欺骗 - 不要在没有检查的情况下依赖它
两次。

-C 在运行之前对签名执行冲突检查。 这是一个必不可少的选择
每当您向 .fp 文件添加新签名时，否则就没有必要。

-x 转储完整的数据包内容； 此选项与 -l 不兼容，旨在
仅用于调试和数据包比较。

-X 显示数据包有效载荷； 很少，我们检查的控制数据包可能携带有效载荷。
这是默认 (SYN) 和 -A (SYN+ACK) 模式的错误，但（有时）
在 -R (RST+) 模式下可接受。

-M 部署伪装检测算法。 该算法查看最近的（缓存的）
点击并查找多个系统位于单个网关后面的迹象。
这对于路由器等检测策略违规很有用。 注意这个模式
由于缓存和查找，速度稍慢。 谨慎使用（或不要在
all) 在默认 (SYN) 以外的模式中。

-T nn 伪装检测阈值； 仅对 -M 有意义，设置阈值
伪装报告。

-V 使用详细的伪装检测报告。 这个选项描述了所有的状态
指标，不仅仅是一个整体的价值。

-v 启用对 802.1Q VLAN 标记帧的支持。 在某些接口上可用，在
其他，会导致BPF错误。

滤波器

最后一部分“过滤规则”是用于传入数据包的 bpf 样式的过滤器表达式。 这是
在排除或包含某些网络、主机或特定数据包时非常有用
日志文件。 有关更多信息，请参见 man tcpdump，几个示例：

'src 端口 ftp 数据'

“不是 dst net 10.0.0.0 掩码 255.0.0.0”

“dst 端口 80 和（src 主机 195.117.3.59 或 src 主机 217.8.32.51）”

您还可以使用 p0f 的配套日志报告实用程序。 只需运行“p0frep”即可获得帮助。

保安

P0f，由于其简单性，被认为比其他软件安全得多
通常用于数据包捕获（tcpdump、Ettercap、Ethereal 等）。 请关注
随包提供的文档中发布的安全指南。

使用 onworks.net 服务在线使用 p0f