Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen p0f komutudur.
Program:
ADI
p0f - uzak sistemleri pasif olarak tanımlayın
SİNOPSİS
p0f p0f [ -f dosya ] [ -i cihaz ] [ -s dosya ] [ -o dosya ] [ -Q soket [ -0 ] ] [ -w dosya ]
[ -u kullanıcı ] [ -c boyut ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ 'filtre kural' ]
TANIM
p0f için bir TCP/IP paketinin yapısını analiz etmeye dayalı bir parmak izi tekniği kullanır.
uzak bir ana bilgisayarın işletim sistemini ve diğer yapılandırma özelliklerini belirleyin. NS
süreç tamamen pasiftir ve şüpheli ağ trafiği oluşturmaz. NS
diğer ana bilgisayarın şunlardan birine sahip olması gerekir:
- ağınıza bağlanın - kendiliğinden veya uyarılmış bir şekilde, örneğin
ftp veri akışı oluşturmaya çalışmak, geri dönen bir postayı döndürmek, auth araması yapmak,
IRC DCC, harici html posta resim referansı vb. kullanarak,
- veya bazı standart araçlar (bir web gibi) kullanılarak ağınızdaki bazı varlıklar tarafından
tarama); bağlantıyı kabul edebilir veya reddedebilir.
Yöntem, paket güvenlik duvarlarını görebilir ve etkin bir güvenlik duvarının kısıtlamalarına sahip değildir.
parmak izi. Pasif işletim sistemi parmak izinin ana kullanımları, saldırgan profili oluşturmadır (IDS ve
bal küpleri), ziyaretçi profili oluşturma (içerik optimizasyonu), müşteri/kullanıcı profili oluşturma (politika
uygulama), kalem testi vb.
SEÇENEKLER
-f dosya
dosyadan parmak izlerini oku; varsayılan olarak, p0f, ./p0f.fp'den imzaları okur veya
/etc/p0f/p0f.fp (ikincisi yalnızca Unix sistemlerinde). Özel yüklemek için bunu kullanabilirsiniz
parmak izi verileri Birden çok -f değeri belirtmek birkaç imzayı BİRLEŞTİRMEZ
dosyalar birlikte.
-i cihaz
bu cihazda dinle; p0f, varsayılan olarak libpcap'ın kabul ettiği cihaza göre değişir.
en iyisi (ve çoğu zaman olmayan). Bazı yeni sistemlerde belirtebilirsiniz
'any' tüm cihazlarda dinlemek için, ancak buna güvenmeyin. çoklu -i belirtme
değerler, p0f'nin aynı anda birkaç arabirimde dinlemesine neden OLMAZ.
-s dosya
paketleri tcpdump anlık görüntüsünden oku; bu, alternatif bir çalışma modudur,
hangi p0f paketi canlı bir ağ yerine pcap veri yakalama dosyasından okur.
Adli tıp için kullanışlıdır (bu, örneğin tcpdump -w çıktısını ayrıştırır).
İnsan tarafından okunabilen paket izlerini pcap'a dönüştürmek için Ethereal'ın text2pcap'ını kullanabilirsiniz.
dosyalar, gerekirse.
-w dosya
parmak izinin yanı sıra eşleşen paketleri bir tcpdump anlık görüntüsüne yazar;
gözden geçirilmek üzere gerçek trafiğin kopyalarının saklanması önerildiğinde kullanışlıdır.
-o dosya
bu günlük dosyasına yaz. Bu seçenek -d için gereklidir ve -t anlamına gelir.
-Q soket
belirli bir yerel akış soketinde dinle (örneğin bir dosya sistemi nesnesi)
/var/run/p0f-sock) sorgular için. Daha sonra bu sokete bir paket gönderilebilir.
p0f-query.h'den p0f_query yapısı ve p0f_response için bekleyin. Bu bir yöntemdir
p0f'nin aktif servislerle (web sunucusu veya web komut dosyaları, vb.) P0f olacak
imzaları her zamanki gibi bildirmeye devam edin - ancak -qKU kullanabilirsiniz
Bunu bastırmak için kombinasyon. Ayrıca -c notlarına bakın.
Test/alt dizininde bir örnek sorgulama aracı (p0fq) sağlanmıştır. Ayrıca bir
mevcut bir istemcinin önemsiz Perl uygulaması.
NOT: Soket, mevcut izinlerinize karşılık gelen izinlerle oluşturulacaktır.
umask. Bu arayüze erişimi kısıtlamak istiyorsanız dikkatli olun.
-0 uzak sorgularda kaynak bağlantı noktası 0'ı joker karakter olarak ele alın: o ana bilgisayar için herhangi bir kayıt bulun.
Bu, kaynak bağlantı noktasını geçmeyen programlar için eklentiler geliştirirken kullanışlıdır.
p0f sorgularını kullanan alt sisteme bilgi; bunun bazılarını tanıttığını unutmayın
belirsizlik ve döndürülen eşleşme, söz konusu tam bağlantı için olmayabilir
(Yalnızca -Q modu).
-e ms paket yakalama penceresi. Bazı sistemlerde (özellikle eski Suns'larda), varsayılan
1 ms'lik pcap yakalama penceresi yetersizdir ve p0f paket almayabilir. böyle bir
durumda, bu parametreyi güvenilir sonuç veren en küçük değere ayarlayın.
(bunun p0f için bir miktar gecikmeye neden olabileceğini unutmayın). -c boyut önbellek boyutu
-Q ve -M seçenekleri için. Varsayılan değer 128'dir ve bu, bir sistem altındaki bir sistem için mantıklıdır.
orta düzeyde ağ yükü. Çok yükseğe ayarlamak p0f'yi yavaşlatır ve
çevirmeli düğümler, çift önyükleme sistemleri vb. için bazı -M yanlış pozitifleri. Bunu da ayarlamak
low, -Q seçeneği için önbellek kayıplarına neden olur. Doğru değeri seçmek için
önbelleğe almak istediğiniz zaman aralığı başına ortalama bağlantı sayısı, ardından
-c ile p0f'ye iletin.
P0f, -q olmadan çalıştırıldığında, çıkışta ortalama paket oranını da bildirir. Kullanabilirsiniz
bu, optimum -c ayarını belirlemek için. yapmazsanız bu seçeneğin hiçbir etkisi yoktur.
-Q veya -M kullanın.
-u kullanıcı
bu seçenek, p0f'yi okuduktan sonra bu kullanıcının ana dizinine chroot yapmaya zorlar
yapılandırma verileri ve soketlere bağlanma, ardından UID, GID ve
ek gruplar.
Bu paranoyak için bir güvenlik özelliğidir - arka plan programı modunda p0f çalıştırırken,
boş bir ana dizine sahip yeni bir ayrıcalıksız kullanıcı oluşturmak isteyebilir ve
p0f tehlikeye girdiğinde maruziyeti sınırlayın. Dedi ki, böyle bir uzlaşma olmalı
gerçekleşirse, saldırganın bazı ağları koklamak için kullanabileceği bir soketi olacaktır.
trafik (rm -rf /'den daha iyi).
-N tahminde bulunmayı engellemek; mesafeleri bildirmeyin ve medyayı birbirine bağlamayın. Bu seçenekle, p0f
yalnızca kaynak IP ve işletim sistemi verilerini günlüğe kaydeder.
-F kesin eşleşme bulunmazsa bulanık eşleştirme algoritması dağıtın (şu anda geçerlidir)
yalnızca TTL'ye). Bu seçenek RST+ modu için önerilmez.
-D işletim sistemi ayrıntılarını bildirmeyin (sadece tür). Bu seçenek, p0f istemiyorsanız kullanışlıdır.
işletim sistemi sürümlerini ve benzerlerini detaylandırmak için (-N ile birleştirin).
-U bilinmeyen imzaları gösterme. Günlüğünüzü tutmak istiyorsanız bu seçeneği kullanın
dosya temiz ve tanınmayan ana bilgisayarlarla ilgilenmiyor.
-K bilinen imzaları gösterme. Bu seçenek, p0f'yi çalıştırdığınızda kullanışlıdır.
eğlence amaçlı olarak ve UFO'ları veya -U ile birleştirildiğinde -Q veya -M modlarında tespit etmek istiyorum
tüm çıktıları engelle.
-q sessiz olun - afiş göstermeyin ve düşük profilli olun.
-p kartı karışık moda geçir; varsayılan olarak, p0f yalnızca adreslenen paketleri dinler
veya üzerinde çalıştığı makine aracılığıyla yönlendirilir. Bu ayar performansı düşürebilir,
ağ tasarımınıza ve yükünüze bağlı olarak. Anahtarlamalı ağlarda, bu genellikle
etkisi çok az veya hiç yok.
IP etkin arabirimlerdeki karışık modun uzaktan algılanabileceğini ve
bazen ağ yöneticileri tarafından hoş karşılanmaz.
-t her girişe insan tarafından okunabilir zaman damgaları ekleyin (tarihi değiştirmek için birden çok kez kullanın
biçimi, bir la tcpdump).
-d arka plan programı moduna geçin (mevcut terminalden ayırın ve arka plana çatallayın).
-o gerektirir.
-l verileri kayıt başına satır stilinde verir (grep'i daha kolaydır).
-A SYN+ACK modu için yarı desteklenen bir seçenek. Bu seçenek, p0f'nin parmak izine neden olur
size bağlanan sistemlerin aksine (varsayılan) bağlandığınız sistemler. İle birlikte
bu seçenek, p0f, normal p0f.fp yerine p0fa.fp dosyasını arayacaktır. Olağan
config bu mod için UYGUN DEĞİLDİR.
SYN+ACK imza veritabanı şu anda biraz küçük ama
birçok kullanım. Katkıda bulunmaktan çekinmeyin.
-R RST+ modu için zar zor desteklenen bir seçenek. Bu seçenek, p0f'yi parmak izine yönlendirecektir
birkaç farklı trafik türü, en önemlisi "bağlantı reddedildi" ve
"zaman aşımı" mesajları.
Bu mod SYN+ACK'e (-A) benzer, ancak programın şimdi
p0fr.fp. Normal yapılandırma bu mod için UYGUN DEĞİLDİR. Zorunda kalabilirsin
kullanmadan önce p0fr.fp ile tanışın.
-O kesinlikle deneysel açık bağlantı (kaçak ACK) parmak izi modu. Bunda
modunda, p0f, bir sistem içindeki tüm paketlerdeki işletim sistemini ayrım gözetmeksizin tanımlamaya çalışır.
zaten kurulmuş bağlantı.
Bu modun tek kullanımı, mevcut bir
oturum, toplantı, celse. Çıktı miktarı çok fazla olduğundan, p0f çalıştırmamanız önerilir.
bu modda uzun süre
Program parmak izlerini okumak için p0fo.fp dosyasını kullanacaktır. Normal yapılandırma DEĞİL
Bu mod için UYGUN. Ne yaptığınızı bilmiyorsanız kullanmayın. NOT:
p0fo.fp veritabanı şu anda çok seyrek dolduruluyor.
-r ana bilgisayar adlarını çöz; bu mod ÇOK daha yavaştır ve bazı güvenlik riskleri oluşturur. Yapamaz
etkileşimli koşular veya düşük trafik durumları dışında kullanın. NOT: SADECE seçenek
IP adresini bir ada çözer ve eşleştirme için herhangi bir kontrol yapmaz
DNS'yi ters çevirin. Bu nedenle, ad sahte olabilir - kontrol etmeden ona güvenmeyin
iki defa.
-C çalıştırmadan önce imzalar üzerinde çarpışma kontrolü yapın. Bu önemli bir seçenek
.fp dosyalarına her yeni imza eklediğinizde, ancak aksi takdirde gerekli değildir.
-x tam paket içeriğini boşaltmak; bu seçenek -l ile uyumlu değildir ve
yalnızca hata ayıklama ve paket karşılaştırma için.
-X paket yükünü göster; nadiren, incelediğimiz kontrol paketleri bir yük taşıyabilir.
Bu, varsayılan (SYN) ve -A (SYN+ACK) modları için bir hatadır, ancak (bazen)
-R (RST+) modunda kabul edilebilir.
-M maskeli balo algılama algoritması dağıtın. Algoritma, yakın zamana (önbelleğe alınmış) bakar
tek bir ağ geçidinin arkasında birden çok sistemin olduğuna dair işaretler arar ve arar.
Bu, yönlendiricilerde ve politika ihlallerini tespit etmek için kullanışlıdır. Bu modu unutmayın
önbelleğe alma ve aramalar nedeniyle biraz daha yavaştır. Dikkatli kullanın (veya
tümü) varsayılan (SYN) dışındaki modlarda.
-T nn maskeli balo algılama eşiği; sadece -M ile anlamlıdır, eşiği ayarlar
maskeli balo raporlama.
-V ayrıntılı maskeli balo algılama raporlamasını kullanın. Bu seçenek, tüm
göstergeler, sadece genel bir değer değil.
-v 802.1Q VLAN etiketli çerçeveler için desteği etkinleştirin. Bazı arayüzlerde mevcuttur,
diğer, BPF hatasına neden olur.
FİLTRELER
Son kısım olan 'filtre kuralı', gelen paketler için bpf tarzı bir filtre ifadesidir. Bu
belirli ağları, ana bilgisayarları veya belirli paketleri hariç tutmak veya dahil etmek için çok kullanışlıdır.
günlük dosyası. Daha fazla bilgi için man tcpdump'a bakın, birkaç örnek:
'src bağlantı noktası ftp verileri'
´değil dst net 10.0.0.0 maskesi 255.0.0.0´
´dst port 80 ve (src host 195.117.3.59 veya src host 217.8.32.51)´
Ayrıca p0f için bir tamamlayıcı günlük raporu yardımcı programını da kullanabilirsiniz. Yardım için 'p0frep'i çalıştırın.
P0f, basitliği nedeniyle, diğer yazılımlardan çok daha güvenli olduğuna inanılıyor.
genellikle paket yakalama için çalıştırılır (tcpdump, Ettercap, Ethereal, vb.). Lütfen takip edin
paketle birlikte verilen belgelerde yayınlanan güvenlik yönergeleri.
onworks.net hizmetlerini kullanarak p0f'yi çevrimiçi kullanın
