P0f: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Jarnek (talk | contribs)
Jarnek (talk | contribs)
Line 136: Line 136:
| style="padding:0px 0px 0px 5px;font-family:courier;font-size:8pt;"|sudo apt-get install p0f
| style="padding:0px 0px 0px 5px;font-family:courier;font-size:8pt;"|sudo apt-get install p0f
|}
|}
[https://www.sans.org/security-resources/idfaq/p0f.php]


=== Windows ===
=== Windows ===

Revision as of 14:46, 16 May 2015

Sissejuhatus

P0f on mitmekülgne, skaleeritav, passiivne operatsioonisüsteemide(OS) "fingerprintimis" programm. P0f on võimeline tuvastama iga kaugseadme, mis on ühendatud kas sinu omaga või millele oled ise ühendanud läbi OSI neljanda kihi ehk transport kihi. [1] [2] P0f'i on võimalik kasutada taustal töötava programmina või hoopis daemonina ehk programmina, mis töötab tagataustal. Tavaliselt miks P0f'i kasutatakse on, et teha kindlaks kas võrgus on turvaauke või lihtsalt võrgu monritoorimiseks. P0f võimaldab ka tuvastada autoriseerimata ühendusi organisatsiooni sisestes keskkondades ning lisaks veel üleüldisteks analüüsideks. [3]

Kuidas Töötab

P0f on võimeline tuvastama, kuidas kaugseade on võrku ühendatud(Ethernet, DSL), kui kaugel see masin asub ning ülalolekuaeg. ISP(Internet Servide Provider) ehk internetiteenuse pakkujad saavad seda ka kasutad, et tuvastada nende võrgu illegaalseid kasutusi. P0f'iga on võimalik ka tuvastada erinevaid andmepakettide filtreerijaid ning NAT(Network address translation) konfiguratsioone. Vahest on ka võimalik tuvastada uuritava kasutja ISP nimi. Kõike seda tehes on P0f täiesti passiivne, ehk ei genereerita võrgu liiklust, ei toimu name lookup'e, trace route või siis võrgu liiklust uuritavale kasutajale. [4]

Versioon

Avalikult kättesaadavalt on P0f'i versioone veel alates 1.7'st:

http://lcamtuf.coredump.cx/p0f3/releases/old/1.x/

ja

http://lcamtuf.coredump.cx/p0f3/releases/

Praegune, kasutusel olev P0f'i versioon on 3.08b ehk v3:

http://lcamtuf.coredump.cx/p0f3/releases/p0f-3.08b.tgz

Versioon 3.07 Windows'ile:

http://www.info-sec.ca/p0f.html

Programmi autor

Michal Zalewski, tema ja programmi arendamise toetamiseks võid soetada:

http://www.amazon.com/Tangled-Web-Securing-Modern-Applications/dp/1593273886

Küsimuste tekkimisel või ettepanekute esitamiseks:

lcamtuf@coredump.cx

Süntaks

p0f [ -f file ] [ -i iface ] [ -L ] [ -r file ] [ -o file ] [ -s file ] [ -d ] [ -u user ] [ -p ] [ -S num ] [ -m c,h ] [ -t c,h ]

[5]

Võtmed

Option Tähendus
-f file Loeb fingerprint andmebaasi kindlast failist
-i iface Kuulab kindlat võrgu liidest
-L Kuvab kõik olemasolevad võrgu liidesed
-r file Loeb pcap paketi faili, selle asemel, et kuulata võrgu liidest
-o file Lisab väljundi faili, grep'i sõbralikus vormingus
-s file Väljund socket'i(sokkel)
-d Programm läheb daemon'i ehk töötab tagataustal
-u user Vahetatkse kasutaja ja eemaldatakse kõike õigused, kasutada koos -d
-p Panna valitud liides lihtsameelsesse viisi
-S num Panna paika maksimum arv API klientide ühendus, tavaliselt 20
-m c,h Maksimum number kliente ja host'e, keda jälgitakse
-t c,h Aegumisajad ühendustele(c) ning eemaldimine tegevusetutele(h) hostidele
-A Selle asemel, et p0f fingerprindib süsteeme kes sinu süsteemi ühenduvad, hakkab p0f fingerprintima neid, kuhu sa ühendud

[6]

Kasutus

Kuidas paigaldada

Linux

P0f paigaldamine võib vajada libpcap 0.4 teeki, mis on mõeldud andmepaketide salvestamiseks. Libpcap võimaldab salvestada kõik paketid, mis läbivad sinu ethernet liidest. Kõik paketid sinu võrgus, on võimalik libpcap'iga salvestada, isegi need, mis on mõeldud teistele hostidele. Libpcap on võimalik paigaldada nii:

sudo apt-get install libpcap0.8-dev libpcap-dev

P0f'i saab paigaldada nii:

sudo apt-get install p0f

[7]

Windows

Installeerida WinPcap, mis on Windowsi keskkonnad mõeldud andmepakettide salvestamiseks:

https://winpcap.org/default.htm

Alla laadida ja installeerida P0f Windows'ile:

http://www.info-sec.ca/p0f.html

[8]

Näited

Kokkuvõte

Autor

Janno Arnek

A21


Kasutatud Allikad

http://lcamtuf.coredump.cx/p0f3/

https://en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting

http://lcamtuf.coredump.cx/p0f3/README

https://www.sans.org/security-resources/idfaq/p0f.php

http://www.info-sec.ca/p0f.html