PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wer hat Erfahrungen mit p0f?



cane
14.01.04, 16:25
Hallo!
p0f ist ein Tool dass anhand passiver Analyse Remote OS identifizieren kann...
Das ist natürlich für ein Honeypot oder net eine feine Sache...

Wer hat schon damit experimentiert und kann mir sagen ob das Progg einigermaßen zuverlässig ist?

http://lcamtuf.coredump.cx/p0f.shtml

mfg
cane

lobo
14.01.04, 21:24
Wie zuverlässig das Tool ist kann ich dir auch nicht sagen, da ich es nur hier und da mal verwende.

Ich verwende meistens den Schalter -s um von einer tcpdump-Datei zu lesen, so kann man schön sehen welches OS ein Host verwendet.
Falsche Ergebnisse solltest du nur bekommen, wenn ein Host spezielle Kernel-Patches wie IP-Personality (http://ippersonality.sourceforge.net/) oder den Linux Stealth Patch (leider keine gültige URL mehr gefunden) verwendet, welche die Eigenschaften des TCP/IP-Stacks modifizieren.

Gruss

Jochen

cane
15.01.04, 11:46
Danke...

Apoll
22.02.04, 01:58
Ich bin gerade durch Zufall auf dieses interessante Programm gestossen und werde es mir mal genauer ansehen. Das war übrigens der Output, als ich während der Laufzeit des Programms heise.de angesurft habe. Anscheinend sitzt der Webserver hinter einer Firewall:


[root][/home/philipp]# p0f -MA
p0f - passive os fingerprinting utility, version 2.0.2
(C) M. Zalewski <lcamtuf@coredump.cx>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN+ACK) on 'eth0', 57 sigs (1 generic), rule: 'all'.
Masquerade detection enabled at threshold 0%.
193.99.144.71:80 - NetApp Data OnTap 6.x (firewall!)
-> 192.168.1.207:34142 (distance 15, link: ethernet/modem)
193.99.144.71:80 - NetApp Data OnTap 6.x (firewall!)
-> 192.168.1.207:34143 (distance 15, link: ethernet/modem)
193.99.144.71:80 - NetApp Data OnTap 6.x (firewall!)
-> 192.168.1.207:34144 (distance 15, link: ethernet/modem)
193.99.144.71:80 - NetApp Data OnTap 6.x (firewall!)
-> 192.168.1.207:34145 (distance 15, link: ethernet/modem)

Was ich noch interessant finde: p0f ist in der Lage, die uptime eines Hosts zu bestimmen... wie ist das eigentlich nur aufgrund von TCP-Paketen möglich?

MfG, Philipp

Thomas
22.02.04, 02:27
Mittels den timestamps der TCP-Pakete.

Darüber bestimmt zum Beispiel auch nmap die Uptime.
Willst du dies verhindern, so kannst du z.B. die Timestamp-Option deaktivieren (/proc/sys/net/ipv4/tcp_timestamps). Achtung: Dies ist _nicht_ RFC-konform!

Thomas.

Apoll
22.02.04, 02:37
Original geschrieben von Thomas
Mittels den timestamps der TCP-Pakete.

Darüber bestimmt zum Beispiel auch nmap die Uptime.
Willst du dies verhindern, so kannst du z.B. die Timestamp-Option deaktivieren (/proc/sys/net/ipv4/tcp_timestamps). Achtung: Dies ist _nicht_ RFC-konform!

Thomas.

Sehr interessant, danke für die Informationen!

pixel
09.03.04, 17:18
Hi@all,

ich habe mir die Sozrcen gezogen und habe ein Frage zur Installation. Ich habe zuerst 'Build' aufgerufen und habe danach gemeldet bekommen ich solle 'make p0fq' aufrufen was ich ebenfalls getan habe. Nun wurde die Datei 'p0f' erzeugt (bin).
Kann ich diese jetzt einfach in mein /usr/local/bin kopieren oder werden noch weitere Dateien aus diesem Verzeichnis benötigt?

@cane

Auch die Zeitschrift hakin9 gelesen?

Gruß Pixel

lobo
09.03.04, 17:55
Hi!

Du musst nur noch ./Build install aufrufen. p0f kommt dann nach /usr/bin, p0frep nach /usr/sbin, die Fingerprint-Dateien nach /etc/p0f/ und die Manpage nach /usr/man.

Gruss

Jochen

cane
10.03.04, 14:00
Auch die Zeitschrift hakin9 gelesen?

Ich hab mir vor ner Zeit mal eine gekauft - regelmäßiger Leser bin ich aber nicht...

cane