p0f 3.0 para OS


  1: Start Kali Linux & Abrir p0f

Vamos começar por disparar Kali e abertura p0f 3.0 acima. Curiosamente, Kali tem colocado sob p0f ferramentas forenses, de modo a abri-lo, temos de ir para Kali Linux -> Forensics -> Rede Forense -> p0f.
Quando abri-lo, somos recebidos com uma tela de ajuda como essa abaixo. A sintaxe é praticamente o mesmo que as versões anteriores; ele é simplesmente o comando ea interface.
  • kali> p0f -i eth0

  2: enviar pacotes do Windows Server 2003

Agora,  vamos enviar pacotes a partir de um sistema Windows Server 2003. Podemos fazer isso em um número de maneiras-FTP, Telnet, netcat, ou simplesmente por abrir um navegador direcionado para o endereço IP do nosso sistema de Kali.
Quando fazemos isso, nós temos os resultados abaixo. p0f identifica o endereço IP eo link e, em seguida, identifica o sistema operacional como um "kernel do Windows NT". Não real específico, mas preciso.

3: enviar pacotes a partir do Windows XP

Vamos agora tentar o mesmo com o Windows XP e ver o que p0f pode decifrar para nós. Neste caso, vou tentar conectar a um servidor FTP na Kali.
Mais uma vez, p0f é preciso, mas não muito específico. Ele identifica o sistema operacional como kernel do Windows NT. Lembre-se que p0f está usando as diferenças no TCP / IP implementação pilha como a forma de identificar o sistema operacional e se uma variedade de sistemas operacionais estão usando a pilha mesmo TCP / IP, não pode diferenciar entre eles.

  4: enviar pacotes do Windows 7

Uma das questões que encontramos com o p0f mais velho é que as assinaturas foram antigo (não há atualizações a partir de 2006) e que não têm assinaturas para o Windows 7, 8, Server 2008 e Server 2012. Vamos teste p0f em um dos sistemas modernos , como o Windows 7.
Como você pode ver, é identificado com precisão como "Windows 7 ou 8". Como estes dois sistemas são da mesma construção, que não pode distinguir a diferença entre eles. Como um hacker, na maioria dos casos, as diferenças não são importantes.

  5: enviar pacotes do Ubuntu

Agora vamos tentar enviar alguns pacotes a partir de uma máquina Ubuntu.
Como você pode ver, p0f decifrado com precisão que o sistema de envio dos pacotes foi um sistema Linux com kernel do 3.x.

  6: Executar p0f para Forensics

Em nosso teste final da eficácia do novo p0f, vamos apenas deixar correr p0f em nosso interface e ver o que pega. Isto pode ser útil para fazer forense em um sistema comprometido ou um sistema sob ataque.
Quando eu deixar p0f corrida por um tempo curto na minha interface eth0, eu logo comecei a ficar entradas como as acima. Eu encontrei esta intrigante. Meu sistema Kali estava se conectando a um endereço IP desconhecido até 64.182.234.103.
Na imagem acima, identifica-o como um servidor Linux e 17 saltos de distância. Isso parece estranho, por várias razões. Em primeiro lugar, eu não fui ligar para qualquer site ou servidor nesse endereço. Na verdade, meu sistema foi completamente ocioso. Em segundo lugar, 17 lúpulo é longo caminho longo. Geralmente, você pode se conectar a praticamente qualquer servidor do planeta dentro de 15 saltos. Este é algo que eu deveria investigar!
Como eu rolar para baixo as entradas p0f, posso obter mais informações sobre este servidor que meu sistema Kali conectado. Eu posso ver que meu sistema conectado de minha 37.416 porta à sua porta 80 e que este servidor tem sido até mais de 31 dias seguidos.
Outras investigações revela que este endereço IP pertence a owncloud.org. Eu nunca fui a este endereço, mas, aparentemente, o pessoal da Segurança Ofensivo ter colocado um cliente em Kali que está se conectando a este site automaticamente. A partir da documentação no site, eu era capaz de decifrar que é, aparentemente, um serviço de nuvem livre similar ao Google Apps.
 
Eu não estou feliz com isso! Não há nada que eu possa encontrar na documentação Kali em relação a este. Eu não estou dizendo que este é nada mal-intencionado, mas acho que o pessoal da Ofensiva de Segurança deveria ter nos disse explicitamente que eles têm incluído um cliente que se conecta automaticamente a este serviço em nuvem.
O novo p0f é uma melhoria sobre a versão mais antiga, mas ainda não é perfeito. Reconhecimento passiva tem a vantagem de ser não detectável, mas a desvantagem de baixa fiabilidade dos resultados. Uma ferramenta como p0f, porém, pode ser inestimável na identificação dos sistemas operacionais dos clientes que estão acessando o seu website ou os sistemas que passam o seu fio enquanto sniffing tráfego.

 você pode baixar o novo p0f aqui.


Postagem mais recente Postagem mais antiga Página inicial

Populares

Recente

Software Avançado De Investigação Forense Móvel

O MOBILedit Forensics é um software forense avançado para telefones, que  extrai  e  analisa profundamente o conteúdo do telefone,  incluind...