Herramienta de Fingerprinting: p0f V3

p0f es una herramienta de fingerprinting pasiva que detecta a todo usuario que se conecte a la red designada, determina el SO que este esté utlizando, la distancia a la que se encuentra, que sistema remoto está designado (DSL, Ethernet, etc), fecha y hora de la entrada. Lo que destaca a p0f, es que esta no genera paquetes de datos extra, ya que por su estado pasivo captura y analiza los paquetes de datos entrantes en ciertos campos, como TTL(Time to Live) o TOS(Type of Service).


¿Qué genera p0f?
p0f genera una salida de este modo:



.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (syn) ]-
|
| client   = 1.2.3.4
| os       = Windows XP
| dist     = 8
| params   = none
| raw_sig  = 4:120+8:0:1452:65535,0:mss,nop,nop,sok:df,id+:0
|
`----

.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (mtu) ]-
|
| client   = 1.2.3.4
| link     = DSL
| raw_mtu  = 1492
|
`----

.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (uptime) ]-
|
| client   = 1.2.3.4
| uptime   = 0 days 11 hrs 16 min (modulo 198 days)
| raw_freq = 250.00 Hz
|
|
`----

.-[ 1.2.3.4/1524 -> 4.3.2.1/80 (http request) ]-
|
| client   = 1.2.3.4/1524
| app      = Firefox 5.x or newer
| lang     = English
| params   = none
| raw_sig  = 1:Host,User-Agent,Accept=[text/html,application/xhtml+xml...
|
`----

Uso: 

p0f carece de una interfaz gráfica. Sus comandos se pueden ejecutar desde la terminal, una lista completa de opciones de la utilidad p0f se indica a continuación.


Comandos: 
       p0f [ -f file ]  [ -i device ] [ -s file ] [ -o file ]   
       [ -w file ] [ -Q sock [ -0 ] ] [ -u user ] [ -FXVNDUKASCMROqtpvdlrx ]
       [ -c size ] [ -T nn ] [ -e nn ] [ 'filter rule' ]":


-f file - leer huellas de archivo
-i device - escuchar en este dispositivo
-s file - leer paquetes de tcpdump snapshot
-o file - escribir a este archivo de logeo (implies -t)
-w file - guarda el paquete a tcpdump snapshot
-u user - chroot y setuid a este usuario
-Q sock - escuchar consultas en este socket local
-0 - make src port 0 a wildcard (in query mode)
-e ms - pcap captura de tiempo en espera en milisegundos (default: 1)
-c size - tamaño de cache para las opciones -Q y -M
-M - ejecutar la deteccion oculta
-T nn - ocultar umbral de deteccion (1-200)
-V - verbose reporte de flags detectadas
-F - usar compatibilidad borrosa (no combinar con -R)
-N - no reportar distancias ni link media
-D - no dar detalles del OS(solo Tipo)
-U - no mostrar firmas desconocidas
-K - no mostrar firmas conocidas(para pruebas)
-S - reportar firmas hasta las conocidas
-A - ir al modo SYN+ACK (semi-soportadp)
-R - ir al modo RST/RST+ACK (semi-soportado)
-O - ir al modo ACK (casi no soportado)
-r - resolver nombres de hosts (no recomendado)
-q - silencioso - no banner
-v - habilitar soporte para 802.1Q VLAN frames
-p - cambiar card a "promiscuous mode"
-d - modo daemon (adjuntar al background)
-l - salida de una sola linea
-x - incluir todos los paquetes (para debugging)
-X - visualizar cadena de carga (util en modo RST)
-C - ejecutar comprobacion de choque de firmas
-t - añadir tiempo a cada entrada 

'Filter rule' es una expresión BPF opcional de stilo pcap(man tcpdump).

















Toda la información proporcionada son para fines educativos.En ningún caso alguno se hace responsable de cualquier mal uso de la información.Toda la información son para el desarrollo de la Hacker Defensa entre los usuarios y ayudar a prevenir los ataques de hackers. GSICR insiste en que esta información debe ser utilizada para causar ningún tipo de daño, directa o indirectamente

0 pensamientos:

Post a Comment

feedback!