p0f - En ligne dans le Cloud

PROGRAMME:

Nom

p0f - identifie passivement les systèmes distants

SYNOPSIS

p0f p0f [ -f filet ] [ -i dispositif ] [ -s filet ] [ -o filet ] [ -Q douille [ -0 ] ] [ -w filet ]
[ -u utilisateur ] [ -c Taille ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'filtre régner' ]

DESCRIPTION

p0f utilise une technique d'empreinte digitale basée sur l'analyse de la structure d'un paquet TCP/IP pour
déterminer le système d'exploitation et d'autres propriétés de configuration d'un hôte distant. Les
processus est complètement passif et ne génère aucun trafic réseau suspect. Les
l'autre hôte doit soit :

- vous connecter à votre réseau - soit de manière spontanée, soit de manière induite, par exemple lorsque
essayer d'établir un flux de données ftp, renvoyer un courrier renvoyé, effectuer une recherche d'authentification,
en utilisant IRC DCC, référence d'image de courrier html externe et ainsi de suite,

- ou être contacté par une entité de votre réseau en utilisant des moyens standards (comme un
navigation) ; il peut accepter ou refuser la connexion.

La méthode peut voir à travers les pare-feu de paquets et n'a pas les restrictions d'un
empreintes digitales. Les principales utilisations des empreintes digitales passives du système d'exploitation sont le profilage des attaquants (IDS et
pots de miel), profilage des visiteurs (optimisation du contenu), profilage client/utilisateur (politique
application de la loi), tests d'intrusion, etc.

OPTIONS

-f filet
lire les empreintes digitales du fichier ; par défaut, p0f lit les signatures de ./p0f.fp ou
/etc/p0f/p0f.fp (ce dernier sur les systèmes Unix uniquement). Vous pouvez l'utiliser pour charger des
données d'empreintes digitales. La spécification de plusieurs valeurs -f ne combinera PAS plusieurs signatures
fichiers ensemble.

-i dispositif
écouter sur cet appareil ; p0f utilise par défaut le périphérique que libpcap considère comme le
meilleur (et qui ne l'est souvent pas). Sur certains systèmes plus récents, vous pourrez peut-être spécifier
« any » pour écouter sur tous les appareils, mais ne vous y fiez pas. Spécification de plusieurs -i
Les valeurs n'entraîneront PAS l'écoute de p0f sur plusieurs interfaces à la fois.

-s filet
lire les paquets de l'instantané tcpdump ; il s'agit d'un autre mode de fonctionnement, en
lequel p0f lit le paquet à partir du fichier de capture de données pcap, au lieu d'un réseau en direct.
Utile pour la médecine légale (cela analysera la sortie de tcpdump -w, par exemple).

Vous pouvez utiliser text2pcap d'Ethereal pour convertir les traces de paquets lisibles par l'homme en pcap
fichiers, si nécessaire.

-w filet
écrit les paquets correspondants dans un instantané tcpdump, en plus de l'empreinte digitale ;
utile lorsqu'il est conseillé d'enregistrer des copies du trafic réel pour examen.

-o filet
écrire dans ce fichier journal. Cette option est obligatoire pour -d et implique -t.

-Q douille
écouter sur un socket de flux local spécifié (un objet de système de fichiers, par exemple
/var/run/p0f-sock) pour les requêtes. On peut ensuite envoyer un paquet à cette socket avec
structure p0f_query de p0f-query.h, et attendez p0f_response. C'est une méthode
d'intégrer p0f avec des services actifs (serveur web ou scripts web, etc.). P0f va
continuez toujours à signaler les signatures de la manière habituelle - mais vous pouvez utiliser -qKU
combinaison pour supprimer cela. Voir aussi les notes -c.

Un exemple d'outil de requête (p0fq) est fourni dans le sous-répertoire test/. Il y a aussi
implémentation perl triviale d'un client disponible.

REMARQUE : le socket sera créé avec les autorisations correspondant à votre
umask. Si vous souhaitez restreindre l'accès à cette interface, soyez prudent.

-0 traitez le port source 0 dans les requêtes distantes comme un caractère générique : recherchez n'importe quel enregistrement pour cet hôte.
Ceci est utile lors du développement de plugins pour des programmes qui ne passent pas le port source
informations au sous-système qui utilise les requêtes p0f ; notez que cela introduit certains
ambiguïté, et la correspondance renvoyée peut ne pas correspondre à la connexion exacte en question
(mode -Q uniquement).

-e fenêtre de capture de paquets ms. Sur certains systèmes (en particulier sur les anciens Sun), la valeur par défaut
La fenêtre de capture pcap de 1 ms est insuffisante et p0f peut ne recevoir aucun paquet. Dans un tel
cas, ajustez ce paramètre à la plus petite valeur qui se traduit par une fiabilité
opération (notez que cela peut introduire une certaine latence dans p0f). -c taille taille du cache
pour les options -Q et -M. La valeur par défaut est 128, ce qui est raisonnable pour un système sous un
charge réseau modérée. Le régler trop haut ralentira p0f et peut entraîner
certains -M faux positifs pour les nœuds d'accès à distance, les systèmes à double amorçage, etc.
low entraînera des échecs de cache pour l'option -Q. Pour choisir la bonne valeur, utilisez le
nombre de connexions en moyenne par intervalle de temps que vous souhaitez mettre en cache, puis
transmettez-le à p0f avec -c.

P0f, lorsqu'il est exécuté sans -q, rapporte également le taux moyen de paquets à la sortie. Vous pouvez utiliser
ceci pour déterminer le paramètre -c optimal. Cette option n'a aucun effet si vous ne
utilisez -Q ni -M.

-u utilisateur
cette option force p0f à chrooter dans le répertoire personnel de cet utilisateur après la lecture
données de configuration et liaison aux sockets, puis basculer vers son UID, GID et
groupes supplémentaires.

Il s'agit d'une fonction de sécurité pour les paranoïaques - lors de l'exécution de p0f en mode démon, vous
peut vouloir créer un nouvel utilisateur non privilégié avec un répertoire personnel vide, et
limiter l'exposition lorsque p0f est compromis. Cela dit, si un tel compromis
se produisent, l'attaquant aura toujours un socket qu'il peut utiliser pour renifler un réseau
trafic (mieux que rm -rf /).

-N empêcher les conjectures ; ne signalez pas les distances et ne liez pas les médias. Avec cette option, p0f
enregistre uniquement les données IP et OS source.

-F déployer un algorithme de correspondance floue si aucune correspondance précise n'est trouvée (applique actuellement
à TTL uniquement). Cette option n'est pas recommandée pour le mode RST+.

-D ne signalez pas les détails du système d'exploitation (juste le genre). Cette option est utile si vous ne voulez pas de p0f
pour élaborer sur les versions du système d'exploitation et autres (combiner avec -N).

-U n'affiche pas les signatures inconnues. Utilisez cette option si vous souhaitez conserver votre journal
fichier propre et ne sont pas intéressés par les hôtes qui ne sont pas reconnus.

-K n'affiche pas les signatures connues. Cette option est utile lorsque vous exécutez p0f
à des fins récréatives et que vous souhaitez repérer les ovnis, ou en modes -Q ou -M lorsqu'il est combiné avec -U pour
inhiber toutes les sorties.

-q soyez silencieux - n'affichez pas de bannières et restez discret.

-p passer la carte en mode promiscuité ; par défaut, p0f n'écoute que les paquets adressés
ou acheminé via la machine sur laquelle il s'exécute. Ce paramètre peut réduire les performances,
selon la conception et la charge de votre réseau. Sur les réseaux commutés, cela a généralement
peu ou pas d'effet.

Notez que le mode promiscuité sur les interfaces IP peut être détecté à distance, et
n'est parfois pas le bienvenu par les administrateurs réseau.

-t ajouter des horodatages lisibles par l'homme à chaque entrée (utiliser plusieurs fois pour changer la date
format, à la tcpdump).

-d passer en mode démon (se détacher du terminal actuel et passer en arrière-plan).
Nécessite -o.

-l produit des données dans un style ligne par enregistrement (plus facile à grep).

-A une option semi-prise en charge pour le mode SYN+ACK. Cette option entraînera l'empreinte digitale de p0f
systèmes auxquels vous vous connectez, par opposition aux systèmes qui se connectent à vous (par défaut). Avec
cette option, p0f recherchera le fichier p0fa.fp au lieu du fichier p0f.fp habituel. L'habituel
config NE CONVIENT PAS à ce mode.

La base de données de signatures SYN+ACK est en quelque sorte petite pour le moment, mais convient pour
de nombreuses utilisations. N'hésitez pas à contribuer.

-R une option à peine prise en charge pour le mode RST+. Cette option demandera à p0f de saisir l'empreinte digitale
plusieurs types de trafic différents, notamment « connexion refusée » et
messages "délai d'attente".

Ce mode est similaire à SYN+ACK (-A), sauf que le programme va maintenant chercher
p0fr.fp. La config habituelle NE CONVIENT PAS à ce mode. Vous devrez peut-être
familiarisez-vous avec p0fr.fp avant de l'utiliser.

-O mode de prise d'empreintes digitales de connexion ouverte (stray ACK) absolument expérimental. Dans ce
mode, p0f tentera d'identifier sans discernement le système d'exploitation sur tous les paquets dans un
connexion déjà établie.

La seule utilisation de ce mode est d'effectuer une prise d'empreintes immédiate d'un
session. En raison de la quantité de sortie, il est déconseillé d'exécuter p0f
dans ce mode pendant de longues périodes.

Le programme utilisera le fichier p0fo.fp pour lire les empreintes digitales. La configuration habituelle n'est PAS
ADAPTÉ à ce mode. Ne pas utiliser à moins que vous ne sachiez ce que vous faites. Noter la
La base de données p0fo.fp est très peu peuplée pour le moment.

-r résoudre les noms d'hôte ; ce mode est BEAUCOUP plus lent et pose un certain risque de sécurité. Ne pas
à utiliser sauf pour les courses interactives ou les situations de faible trafic. REMARQUE : l'option UNIQUEMENT
résout l'adresse IP en un nom et n'effectue aucune vérification de correspondance
DNS inversé. Par conséquent, le nom peut être usurpé - ne vous y fiez pas sans vérifier
deux fois.

-C effectuer une vérification de collision sur les signatures avant l'exécution. C'est une option indispensable
chaque fois que vous ajoutez de nouvelles signatures aux fichiers .fp, mais ce n'est pas nécessaire autrement.

-x vider le contenu complet du paquet ; cette option n'est pas compatible avec -l et est destinée
pour le débogage et la comparaison de paquets uniquement.

-X afficher la charge utile du paquet ; rarement, les paquets de contrôle que nous examinons peuvent transporter une charge utile.
C'est un bogue pour les modes par défaut (SYN) et -A (SYN+ACK), mais c'est (parfois)
acceptable en mode -R (RST+).

-M déployer un algorithme de détection de mascarade. L'algorithme examine les données récentes (mises en cache)
frappe et recherche des indications selon lesquelles plusieurs systèmes se trouvent derrière une seule passerelle.
Ceci est utile sur les routeurs et autres pour détecter les violations de politique. Notez que ce mode
est un peu plus lent en raison de la mise en cache et des recherches. Utiliser avec prudence (ou ne pas utiliser à
all) dans des modes autres que par défaut (SYN).

-T nn seuil de détection de mascarade ; uniquement significatif avec -M, définit le seuil pour
reportage de mascarade.

-V utiliser les rapports de détection de mascarade verbeux. Cette option décrit l'état de tous
indicateurs, pas seulement une valeur globale.

-v activer la prise en charge des trames balisées VLAN 802.1Q. Disponible sur certaines interfaces, sur
autre, entraînera une erreur BPF.

FILTRES

La dernière partie, « règle de filtre », est une expression de filtre de style bpf pour les paquets entrants. Il est
très utile pour exclure ou inclure certains réseaux, hôtes ou paquets spécifiques, dans
le fichier journal. Voir man tcpdump pour plus d'informations, quelques exemples :

'données FTP du port src'

´pas dst net 10.0.0.0 masque 255.0.0.0´

´dst port 80 et ( hôte src 195.117.3.59 ou hôte src 217.8.32.51 )´

Vous pouvez également utiliser un utilitaire de rapport de journal associé pour p0f. Exécutez simplement 'p0frep' pour obtenir de l'aide.

SÛRETÉ

P0f, en raison de sa simplicité, est considéré comme considérablement sécurisé que les autres logiciels qui
est souvent exécuté pour la capture de paquets (tcpdump, Ettercap, Ethereal, etc.). Veuillez suivre
les consignes de sécurité affichées dans la documentation fournie avec le colis.

Utilisez p0f en ligne en utilisant les services onworks.net