- A+
所属分类:未分类
P0f INTRO: -
P0f是用于分析TCP / IP数据包结构的网络检查工具。 它甚至可以识别所列主机的操作系统和其他配置属性。 用于收集远程主机的信息。 另一台主机必须位于攻击者的托管网络上,或者由攻击者网络上的其他实体联系。 与其他工具不同,它不会产生流量,p0f通过分析某些数据包来确定远程主机的操作系统。
国际网络安全研究所的道德黑客研究员表示,P0f在进行网络评估时非常方便。
网络防火墙无法检测到此工具,并且对活动指纹识别没有限制。此工具已预先安装在Kali Linux中。
- 只需在Kali Linux中打开终端并输入p 0f -h 。
root @ kali:/ home / iicybersecurity# p0f -h --- p0f 3.09b作者:Michal Zalewski <lcamtuf@coredump.cx> --- p0f:无效选项 - 'h' 用法:p0f [... options ...] ['过滤规则'] 网络接口选项: -i iface - 监听指定的网络接口 -r file - 从给定文件中读取脱机pcap数据 -p - 将侦听接口置于混杂模式 -L - 列出所有可用的接口 操作模式和输出设置: -f file - 从'file'读取指纹数据库(/etc/p0f/p0f.fp) -o file - 将信息写入指定的日志文件 -s name - 在命名的unix套接字上回答API查询 -u user - 切换到指定的非特权帐户并chroot -d - fork到后台(需要-o或-s) 与绩效相关的选择: -S limit - 限制并行API连接数(20) -tc,h - 设置连接/主机缓存年龄限制(30s,120m) -mc,h - 上限活动连接数/主机数(1000,10000) 可以在命令中指定可选的过滤器表达式(man tcpdump) 防止p0f查看偶然网络流量的行。 问题? 您可以通过<lcamtuf@coredump.cx>与作者联系。
- 在上面的上下文中,p0f显示了帮助菜单。
跑步p0f: -
- 输入p0f或输入p0f -i eth0将显示相同的输出。
root @ kali:/ home / iicybersecurity# p0f --- p0f 3.09b作者:Michal Zalewski <lcamtuf@coredump.cx> --- [+]关闭1个文件描述符。 [+]来自'/etc/p0f/p0f.fp'的322个签名。 [+]拦截默认接口'eth0'上的流量。 [+]配置默认包过滤[+ VLAN]。 [+]输入主事件循环。 .- [192.168.1.105/54494 - > 202.88.147.48/80(syn)] - | | client = 192.168.1.105/54494 | os = Linux 3.11和更新版本 | dist = 0 | params = none | raw_sig = 4:64 + 0:0:1460:mss * 20,7:mss,sok,ts,nop,ws:df,id +:0 | `---- .- [192.168.1.105/54494 - > 202.88.147.48/80(mtu)] - | | client = 192.168.1.105/54494 | link =以太网或调制解调器 | raw_mtu = 1500 | `---- .- [192.168.1.105/54494 - > 202.88.147.48/80(syn + ack)] - | | server = 202.88.147.48/80 | os = ??? | dist = 3 | params = none | raw_sig = 4:61 + 3:0:1452:mss * 20,7:mss,sok,ts,nop,ws:df:0 | `---- .- [192.168.1.105/54494 - > 202.88.147.48/80(http request)] - | | client = 192.168.1.105/54494 | app = Safari 5.1-6 | 郎=英语 | params =不诚实 | raw_sig = 1:主机,用户代理,接受= [* / *],接受语言= [en-US,en; q = 0.5],Accept-Encoding = [gzip,deflate],?Cache-Control,Pragma = [no-cache],Connection = [keep-alive]:Accept-Charset,Keep-Alive:Mozilla / 5.0(X11; Linux i686; rv:60.0)Gecko / 20100101 Firefox / 60.0 | `---- .- [192.168.1.105/54494 - > 202.88.147.48/80(http response)] - | | server = 202.88.147.48/80 | app = ??? | lang =无 | params = none | raw_sig = 1:Content-Type,?Content-Length,?Last-Modified,?ETag,Accept-Ranges = [bytes],Server,X-Amz-Cf-Id = [lJbJX62-PTZNknBuRfEeKfGkXucXaCTKmuR-tmXZL3DV2dYbk_CqOg ==] ,?缓存控制,日期,连接= [保活]:保持活动:AmazonS3 | `---- .- [192.168.1.105/38994 - > 52.27.184.151/443(syn)] - | | client = 192.168.1.105/38994 | os = Linux 3.11和更新版本 | dist = 0 | params = none | raw_sig = 4:64 + 0:0:1460:mss * 20,7:mss,sok,ts,nop,ws:df,id +:0 | `---- .- [192.168.1.105/38996 - > 52.27.184.151/443(正常运行时间)] - | | server = 52.27.184.151/443 | 正常运行时间= 18天15小时54分钟(模数248天) | raw_freq = 208.47赫兹 | `---- .- [192.168.1.105/58144 - > 162.241.216.11/80(http request)] - | | client = 192.168.1.105/58144 | app = Firefox 10.x或更新版本 | 郎=英语 | params = none | raw_sig = 1:主机,用户代理,接受= [text / html,application / xhtml + xml,application / xml; q = 0.9,* / *; q = 0.8],Accept-Language = [en-US,en ; q = 0.5],Accept-Encoding = [gzip,deflate],Connection = [keep-alive],Upgrade-Insecure-Requests = [1],Pragma = [no-cache],?Cache-Control:Accept-Charset ,Keep-Alive:Mozilla / 5.0(X11; Linux i686; rv:60.0)Gecko / 20100101 Firefox / 60.0 | `----
- 正如您所见,p0f加载322个签名并监听主接口eth0加载主要的偶数循环
- P0f检测到远程计算机正在使用Linux OS 。
- 此工具甚至显示连接到远程计算机的Web浏览器正在使用的IP地址和端口。
- P0f通常有助于抓住正常运行时间,它表明远程机器已经从18天,15小时,54分钟上升 。
- 以上信息可用于其他黑客活动,因为它展示了操作系统和Web浏览器。
聆听所有接口: -
- 输入p0f -L
root @ kali:/ home / iicybersecurity# p0f -L --- p0f 3.09b作者:Michal Zalewski <lcamtuf@coredump.cx> --- - 可用接口 - 0:名称:eth0 说明: - IP地址:192.168.1.105 1:姓名:任何 描述:在所有接口上捕获的伪设备 IP地址:(无) 2:姓名:lo 说明: - IP地址:127.0.0.1 3:名称:nflog 说明:Linux netfilter log(NFLOG)接口 IP地址:(无) 4:姓名:nfqueue 说明:Linux netfilter队列(NFQUEUE)接口 IP地址:(无) 5:名称:usbmon1 描述:USB总线编号1 IP地址:(无) 6:名称:usbmon2 描述:USB总线2 IP地址:(无)
- 执行上述命令后,它会显示所有可用于检查正在使用的网络接口数量的网络接口。
- 以上命令对网络管理员以及列出号码的测试人员非常有用。 界面
2018年12月10日
