Menu
▾
▴
p0f-es
p0f
Fase(s):
Principal: Mapeo.
Secundaria: N/A.
Descripción:
Es una herramienta que ayuda a identificar el sistema operativo del servidor en el que residen las aplicaciones Web, por medio de un monitoreo pasivo del tráfico de red.
Objetivo:
- Identificar el sistema operativo del servidor Web para entender el ambiente de despliegue de la aplicación.
Funcionalidades:
Tecnologías soportadas: Sistemas operativos Linux/Unix, Windows, OS X, por mencionar algunos.
Modo de ejecución: Pasivo.
Identificar el sistema operativo del servidor:
- Proporciona el nombre y versión del sistema operativo que identificado mediante un monitoreo pasivo.
Reportes: Resultados exportables: ✔
- Bitácora que contiene el análisis del monitoreo del tráfico de red que incluye el nombre, versión y firma del sistema operativo.
Uso básico:
Realizar un monitoreo pasivo de la red. El siguiente comando inicia el monitoreo que será utilizado para identificar el sistema operativo del servidor.
p0f -i eth0 -A -S -o [path]/p0f.log
Dónde:
- -i: Define la interfaz de red que será monitoreada.
- -A: Ejecuta en modo SYN+ACK.
- -S: Incluye la firma del sistemas operativo identificado.
- -o: Guarda el análisis del monitoreo dentro de un archivó bitácora.
La herramienta permanecerá monitoreando el tráfico de red, analizando las conexiones establecidas, este caso hacia el servidor en el que residen las aplicaciones Web.
p0f - passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN+ACK) on 'eth0', 61 sigs (1 generic, cksum B253FA88), rule: 'all'.
</wstearns@pobox.com></lcamtuf@dione.cc>
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN+ACK) on 'eth0', 61 sigs (1 generic, cksum B253FA88), rule: 'all'.
</wstearns@pobox.com></lcamtuf@dione.cc>
Se accede a la aplicación por medio de un navegador Web y se navega dentro de la aplicación con el objetivo de realizar múltiples peticiones (conexiones) hacia el servidor. La herramienta realizará el análisis de éstas peticiones en contra de un repositorio de firmas para comprobar el sistema operativo y su versión.
Una vez que se considere que se han realizado suficientes peticiones hacia el servidor, se finaliza la herramienta de forma manual para detener el monitoreo. Se verifica la bitácora generada por la herramienta, la cual contiene los resultados generados del análisis.
Ejemplo de bitácora p0f:
<wed may="" 29="" 08:31:10="" 2013=""> 201.100.200.110:9001 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51628 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:31:30="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51629 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:40:11="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51630 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:40:31="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51631 (distance 0, link: ethernet/modem)
</wed></wed></wed></wed>
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51628 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:31:30="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51629 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:40:11="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51630 (distance 0, link: ethernet/modem)
<wed may="" 29="" 08:40:31="" 2013=""> 201.100.200.110 - Windows XP SP1 (firewall!)
Signature: [S44:128:0:64:M1460,N,W0,N,N,T0,N,N,S:A]
-> 201.100.200.120:51631 (distance 0, link: ethernet/modem)
</wed></wed></wed></wed>
Referencias:
Liga: http://lcamtuf.coredump.cx/p0f3/
Autor (es): Michal Zalewski
Contacto: lcamtuf at coredump.cx
Licencia: GNU LGPL Version 2.1