Jest to polecenie p0f, które można uruchomić u dostawcy bezpłatnego hostingu OnWorks przy użyciu jednej z wielu naszych bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online MAC OS
PROGRAM:
IMIĘ
p0f - pasywnie identyfikuje systemy zdalne
STRESZCZENIE
p0f p0f [ -f filet ] [ -i urządzenie ] [ -s filet ] [ -o filet ] [ -Q gniazdo [ -0 ] ] [ -w filet ]
[ -u użytkownik ] [ -c rozmiar ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'filtr reguła' ]
OPIS
p0f wykorzystuje technikę odcisków palców opartą na analizie struktury pakietu TCP/IP
określić system operacyjny i inne właściwości konfiguracyjne zdalnego hosta. The
jest całkowicie pasywny i nie generuje podejrzanego ruchu sieciowego. The
inny gospodarz musi:
- łączyć się z Twoją siecią - spontanicznie lub w sposób indukowany, na przykład kiedy
próba ustanowienia strumienia danych ftp, zwracanie odesłanej poczty, przeprowadzanie wyszukiwania autoryzacji,
przy użyciu IRC DCC, zewnętrznego odniesienia do obrazu poczty HTML i tak dalej,
- lub kontaktować się z jakimś podmiotem w Twojej sieci przy użyciu standardowych środków (takich jak web
przeglądanie); może zaakceptować lub odrzucić połączenie.
Metoda może widzieć przez zapory pakietowe i nie ma ograniczeń związanych z metodą aktywną
pobieranie odcisków palców. Główne zastosowania pasywnego odcisku palca systemu operacyjnego to profilowanie atakującego (IDS i
honeypoty), profilowanie odwiedzających (optymalizacja treści), profilowanie klientów/użytkowników (policy
egzekwowanie prawa), testowanie piórem itp.
OPCJE
-f filet
odczytywać odciski palców z pliku; domyślnie p0f odczytuje podpisy z ./p0f.fp lub
/etc/p0f/p0f.fp (ten ostatni tylko w systemach Unix). Możesz użyć tego do załadowania niestandardowego
dane odcisków palców. Określenie wielu wartości -f NIE spowoduje połączenia kilku podpisów
pliki razem.
-i urządzenie
słuchaj na tym urządzeniu; p0f domyślnie określa dowolne urządzenie, które libpcap uważa za
najlepszy (a który często nie jest). W niektórych nowszych systemach możesz określić
„any”, aby słuchać na wszystkich urządzeniach, ale nie polegaj na tym. Określanie wielu -i
wartości NIE spowodują, że p0f będzie nasłuchiwał na kilku interfejsach jednocześnie.
-s filet
czytać pakiety z migawki tcpdump; jest to alternatywny tryb działania, w
który p0f odczytuje pakiet z pliku przechwytywania danych pcap, zamiast z działającej sieci.
Przydatne dla kryminalistyki (spowoduje to na przykład przeanalizowanie danych wyjściowych tcpdump -w).
Możesz użyć text2pcap Ethereal do konwersji czytelnych dla człowieka śladów pakietów na pcap
pliki, jeśli są potrzebne.
-w filet
zapisuje pasujące pakiety do migawki tcpdump, oprócz pobierania odcisków palców;
przydatne, gdy wskazane jest zapisanie kopii rzeczywistego ruchu do wglądu.
-o filet
napisz do tego pliku dziennika. Ta opcja jest wymagana dla -d i implikuje -t.
-Q gniazdo
nasłuchuj na określonym gnieździe strumienia lokalnego (obiekcie systemu plików, na przykład
/var/run/p0f-sock) dla zapytań. Można później wysłać pakiet do tego gniazda za pomocą
p0f_query z p0f-query.h i poczekaj na p0f_response. To jest metoda
integracji p0f z aktywnymi usługami (serwer WWW lub skrypty WWW itp.). P0f będzie
nadal zgłaszaj podpisy w zwykły sposób - ale możesz użyć -qKU
kombinację, aby to stłumić. Zobacz także -c uwagi.
W podkatalogu test/ znajduje się przykładowe narzędzie do wysyłania zapytań (p0fq). Jest też a
dostępna trywialna implementacja perla klienta.
UWAGA: Gniazdo zostanie utworzone z uprawnieniami odpowiadającymi Twoim bieżącym
umask. Jeśli chcesz ograniczyć dostęp do tego interfejsu, zachowaj ostrożność.
-0 traktuj port źródłowy 0 w zdalnych zapytaniach jako symbol wieloznaczny: znajdź dowolny rekord dla tego hosta.
Jest to przydatne podczas tworzenia wtyczek do programów, które nie przekazują portu źródłowego
informacje do podsystemu korzystającego z zapytań p0f; zauważ, że to wprowadza niektóre
niejednoznaczność, a zwrócone dopasowanie może nie dotyczyć dokładnie danego połączenia
(Tylko tryb -Q).
-e Okno przechwytywania pakietów ms. W niektórych systemach (szczególnie na starszych Sunach) domyślny
Okno przechwytywania pcap o długości 1 ms jest niewystarczające, a p0f może nie odbierać pakietów. W takim
W takim przypadku dostosuj ten parametr do najmniejszej wartości, która daje niezawodność
operacja (zauważ, że może to wprowadzić pewne opóźnienie do p0f). -c rozmiar rozmiar pamięci podręcznej
dla opcji -Q i -M. Wartość domyślna to 128, co jest rozsądne dla systemu pod a
średnie obciążenie sieci. Ustawienie zbyt wysokiego spowolni p0f i może spowodować
niektóre -M fałszywe alarmy dla węzłów dial-up, systemów podwójnego rozruchu itp. Ustawienie też
low spowoduje braki w pamięci podręcznej dla opcji -Q. Aby wybrać odpowiednią wartość, użyj
liczbę połączeń średnio w przedziale czasu, który chcesz buforować
przekaż go do p0f za pomocą -c.
P0f, uruchomione bez opcji -q, podaje również średni współczynnik pakietów przy wyjściu. Możesz użyć
to, aby określić optymalne ustawienie -c. Ta opcja nie działa, jeśli tego nie zrobisz
użyj -Q ani -M.
-u użytkownik
ta opcja zmusza p0f do chrootowania do katalogu domowego tego użytkownika po przeczytaniu
dane konfiguracyjne i powiązanie z gniazdami, a następnie przełączyć się na jego UID, GID i
grupy uzupełniające.
Jest to funkcja bezpieczeństwa dla paranoików - kiedy uruchamiasz p0f w trybie demona, ty
może chcieć utworzyć nowego nieuprzywilejowanego użytkownika z pustym katalogiem domowym i
ograniczyć ekspozycję, gdy p0f jest zagrożone. Powiedział, że powinien taki kompromis
wystąpią, atakujący nadal będzie miał gniazdo, którego może użyć do wąchania jakiejś sieci
ruch (lepszy niż rm -rf /).
-N powstrzymać zgadywanie; nie zgłaszaj odległości i nie łącz mediów. Dzięki tej opcji p0f
rejestruje tylko źródłowe dane IP i system operacyjny.
-F wdrożyć algorytm dopasowywania rozmytego, jeśli nie zostaną znalezione żadne precyzyjne dopasowania (obecnie dotyczy
tylko do TTL). Ta opcja nie jest zalecana w trybie RST+.
-D nie zgłaszaj szczegółów systemu operacyjnego (tylko gatunek). Ta opcja jest przydatna, jeśli nie chcesz p0f
aby rozwinąć wersje systemu operacyjnego i tym podobne (połączyć z -N).
-U nie wyświetlaj nieznanych podpisów. Użyj tej opcji, jeśli chcesz zachować swój dziennik
czysty plik i nie interesują się hostami, które nie są rozpoznawane.
-K nie wyświetlaj znanych podpisów. Ta opcja jest przydatna podczas uruchamiania p0f
rekreacyjnie i chcesz dostrzec UFO lub w trybach -Q lub -M w połączeniu z -U do
zablokować wszystkie wyjścia.
-q bądź cicho – nie wyświetlaj banerów i nie pokazuj się.
-p przełącz kartę w tryb rozwiązły; domyślnie p0f nasłuchuje tylko adresowanych pakietów
lub kierowane przez maszynę, na której działa. To ustawienie może obniżyć wydajność,
w zależności od projektu sieci i obciążenia. W sieciach przełączanych zwykle tak jest
niewielki lub żaden efekt.
Należy pamiętać, że tryb rozwiązły na interfejsach obsługujących protokół IP można wykryć zdalnie i
czasami nie jest mile widziane przez administratorów sieci.
-t dodaj czytelne dla człowieka znaczniki czasu do każdego wpisu (użyj wiele razy, aby zmienić datę
format, podobnie jak tcpdump).
-d przejdź do trybu demona (odłącz się od bieżącego terminala i rozwidlej w tle).
Wymaga -o.
-l wyprowadza dane w stylu line-per-record (łatwiejszym do grepowania).
-A częściowo obsługiwana opcja dla trybu SYN+ACK. Ta opcja spowoduje, że p0f pobierze odcisk palca
systemy, z którymi się łączysz, w przeciwieństwie do systemów, które łączą się z tobą (domyślnie). Z
tej opcji, p0f będzie szukał pliku p0fa.fp zamiast zwykłego p0f.fp. Zwykły
config NIE JEST ODPOWIEDNI dla tego trybu.
Baza danych sygnatur SYN+ACK jest obecnie trochę mała, ale wystarczająca
wiele zastosowań. Zachęcamy do wniesienia wkładu.
-R ledwo obsługiwana opcja dla trybu RST+. Ta opcja poprosi p0f o odcisk palca
kilka różnych rodzajów ruchu, przede wszystkim „odmowa połączenia” i
komunikaty o przekroczeniu limitu czasu.
Ten tryb jest podobny do trybu SYN+ACK (-A), z tą różnicą, że program będzie teraz szukał
p0fr.fp. Zwykła konfiguracja NIE JEST ODPOWIEDNIA dla tego trybu. Być może będziesz musiał
zapoznaj się z p0fr.fp przed użyciem.
-O całkowicie eksperymentalny tryb pobierania odcisków palców z otwartym połączeniem (bezpańskie ACK). W tym
trybie, p0f będzie próbował bezkrytycznie zidentyfikować system operacyjny we wszystkich pakietach w pliku
już nawiązane połączenie.
Jedynym zastosowaniem tego trybu jest wykonanie natychmiastowego pobrania odcisku palca istniejącego
sesja. Ze względu na ogromną ilość danych wyjściowych odradza się uruchamianie p0f
w tym trybie przez dłuższy czas.
Program użyje pliku p0fo.fp do odczytania odcisków palców. Zwykła konfiguracja NIE
ODPOWIEDNIE do tego trybu. Nie używaj, jeśli nie wiesz, co robisz. Zanotuj
Baza danych p0fo.fp jest obecnie bardzo słabo zaludniona.
-r rozwiązać nazwy hostów; ten tryb jest DUŻO wolniejszy i stwarza pewne zagrożenie bezpieczeństwa. Nie rób
używać z wyjątkiem tras interaktywnych lub sytuacji o małym natężeniu ruchu. UWAGA: TYLKO opcja
przekształca adres IP w nazwę i nie sprawdza zgodności
odwróć DNS. Dlatego nazwa może być sfałszowana - nie polegaj na niej bez sprawdzenia
dwa razy.
-C przeprowadzić kontrolę kolizji sygnatur przed uruchomieniem. Jest to niezbędna opcja
za każdym razem, gdy dodajesz nowe podpisy do plików .fp, ale nie jest to konieczne w inny sposób.
-x zrzucić pełną zawartość pakietu; ta opcja nie jest kompatybilna z -l i jest przeznaczona
tylko do debugowania i porównywania pakietów.
-X wyświetlać ładunek pakietu; rzadko badane przez nas pakiety kontrolne mogą zawierać ładunek.
Jest to błąd dla trybów domyślnych (SYN) i -A (SYN+ACK), ale jest (czasami)
dopuszczalne w trybie -R (RST+).
-M wdrożyć algorytm wykrywania maskarady. Algorytm przegląda ostatnie (zapisane w pamięci podręcznej)
trafia i szuka wskazówek, że za jedną bramą znajduje się wiele systemów.
Jest to przydatne na routerach i podobnych do wykrywania naruszeń zasad. Zwróć uwagę, że ten tryb
jest nieco wolniejszy z powodu buforowania i wyszukiwania. Używaj ostrożnie (lub nie używaj w
all) w trybach innych niż domyślny (SYN).
-T nn próg detekcji maskarady; ma znaczenie tylko z -M, ustawia próg dla
reportaż z maskarady.
-V użyj szczegółowego raportowania wykrywania maskarady. Ta opcja opisuje stan wszystkich
wskaźniki, a nie tylko ogólną wartość.
-v włączyć obsługę ramek oznaczonych 802.1Q VLAN. Dostępne na niektórych interfejsach, na
inne spowoduje błąd BPF.
FILTRY
Ostatnia część, „reguła filtrowania”, jest wyrażeniem filtrującym w stylu bpf dla pakietów przychodzących. To jest
bardzo przydatne do wykluczania lub włączania niektórych sieci, hostów lub określonych pakietów w
plik dziennika. Zobacz man tcpdump, aby uzyskać więcej informacji, kilka przykładów:
„źródłowy port ftp-data”.
„nie dst net 10.0.0.0 maska 255.0.0.0”.
„dst port 80 i ( src host 195.117.3.59 lub src host 217.8.32.51 )”
Możesz także użyć narzędzia do raportowania dziennika towarzyszącego dla p0f. Po prostu uruchom „p0frep”, aby uzyskać pomoc.
BEZPIECZEŃSTWO
Uważa się, że P0f, ze względu na swoją prostotę, jest znacznie bezpieczniejszy niż inne programy
jest często uruchamiany w celu przechwytywania pakietów (tcpdump, Ettercap, Ethereal itp.). Podążaj proszę
wytyczne dotyczące bezpieczeństwa zamieszczone w dokumentacji dołączonej do opakowania.
Korzystaj z p0f online, korzystając z usług onworks.net
