P0f adalah alat yang memanfaatkan array canggih, mekanisme lalu lintas sidik jari murni pasif untuk mengidentifikasi para pemain belakang setiap komunikasi TCP / IP insidental (sering sebagai sedikit sebagai SYN yang normal tunggal) tanpa mengganggu dengan cara apapun. Versi 3 adalah penulisan ulang lengkap dari basis kode asli, menggabungkan sejumlah besar perbaikan fingerprinting tingkat jaringan, dan memperkenalkan kemampuan untuk alasan tentang muatan aplikasi-tingkat (misalnya, HTTP).
Beberapa kemampuan p0f meliputi:
Identifikasi yang sangat terukur dan sangat cepat dari sistem operasi dan perangkat lunak pada kedua titik akhir dari koneksi vanili TCP - terutama dalam pengaturan di mana Nmap probe diblokir, terlalu lambat, tidak dapat diandalkan, atau hanya akan berangkat alarm.
Pengukuran uptime sistem dan hookup jaringan, jarak (termasuk topologi belakang NAT atau filter paket), preferensi bahasa pengguna, dan sebagainya.
deteksi otomatis berbagi koneksi / NAT, load balancing, dan setup proxy level aplikasi.
Deteksi klien dan server yang menempa pernyataan deklaratif seperti X-Mailer atau User-Agent.
Alat ini dapat dioperasikan di latar depan atau sebagai daemon, dan menawarkan sederhana real-time API untuk komponen pihak ketiga yang ingin memperoleh informasi tambahan tentang aktor mereka berbicara.
penggunaan umum untuk p0f termasuk pengintaian selama tes penetrasi; monitoring jaringan secara rutin; deteksi interkoneksi jaringan yang tidak sah di lingkungan perusahaan; memberikan sinyal ke alat bantu melanggar pencegahan; dan forensik Miscellanous.
Anda dapat membaca lebih lanjut tentang desain dan operasi dalam dokumen ini. Dalam satu bentuk atau lain, versi sebelumnya dari p0f digunakan dalam berbagai proyek, termasuk pfsense, Ettercap, Prads, amavisd, ikan jantan, postgrey, fwknop, Satori, OpenBSD firewall, dan berbagai macam alat komersial.
Fun Fakta: Ide untuk p0f tanggal kembali ke 10 Juni 2000. Saat ini, hampir semua aplikasi yang melakukan OS pasif sidik jari baik hanya menggunakan kembali p0f untuk cek TCP-level (Ettercap, Disco, Prads, Satori), atau menggunakan pendekatan rendah itu, misalnya, tidak memperhatikan hubungan rumit antara ukuran jendela host dan MTU (SinFP).
2. Apa output?
Sebuah potongan output p0f khas mungkin terlihat seperti ini:
Silakan di | download
Silakan di | download
.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (syn) ]- | | client = 1.2.3.4 | os = Windows XP | dist = 8 | params = none | raw_sig = 4:120+8:0:1452:65535,0:mss,nop,nop,sok:df,id+:0 | `---- .-[ 1.2.3.4/1524 -> 4.3.2.1/80 (mtu) ]- | | client = 1.2.3.4 | link = DSL | raw_mtu = 1492 | `---- .-[ 1.2.3.4/1524 -> 4.3.2.1/80 (uptime) ]- | | client = 1.2.3.4 | uptime = 0 days 11 hrs 16 min (modulo 198 days) | raw_freq = 250.00 Hz | | `---- .-[ 1.2.3.4/1524 -> 4.3.2.1/80 (http request) ]- | | client = 1.2.3.4/1524 | app = Firefox 5.x or newer | lang = English | params = none | raw_sig = 1:Host,User-Agent,Accept=[text/html,application/xhtml+xml... | `----
0 komentar:
Posting Komentar