P0f
P0f (acronimo di Passive OS fingerprinting) è un Software Open Source (licenza GPL) che attraverso la tecnica fingerprinting passivo riesce a determinare il sistema operativo di un host remoto.
Indice |
Metodi di identificazione[modifica]
Esistono sostanzialmente 2 tecniche per determinare da remoto il sistema operativo di un target.
Metodo tradizionale[modifica]
Metodo utilizzato in programmi quali queso e nmap, consiste nel trasmettere una sequenza di pacchetti anomali e analizzarne le risposte. Ogni sistema operativo caratterizzerà le risposte.
Metodo passivo[modifica]
Consiste nell'analizzare il traffico presente sulla rete (Sniffing) notando le caratterizzazioni presenti nei pacchetti.
Il TTL (Time to live) è il numero massimo di router che il pacchetto può passare prima che cada; quando il valore raggiunge 0, il pacchetto è caduto e un messaggio ICMP è restituito al mittente. L'insieme di valori TTL differisce a seconda del sistema operativo utilizzato. Per esempio i sistemi Windows avranno un valore di 32 mentre per Linux avrà un TTL di 64. Il formato della finestra è l'opzione di controllo di flusso usata nel TCP.
Quando un ospite inizia un collegamento e rende noto lo spazio messo a disposizione in modo da non essere sommerso da dati troppo consistenti. Il DF è l'insieme di valori di frammentazione del pacchetto Il TOS (tipo di servizio) regolato da 4 valori: minimizzare, elevare il rendimento, elevare l'affidabilità, minimizzare il costo. Per esempio i pacchetti del Telnet hanno "minimizzare" mentre l'SNMP ha l'opzione di elevare l'affidabilità.
Vantaggi[modifica]
Il vantaggio principale della tecnica passiva è che può essere tranquillamente utilizzata senza essere per questa invasiva e per questo è difficilmente individuabile da strumenti quali Intrusion detection system/Firewall.
Voci correlate[modifica]
 Portale Telematica: accedi alle voci di Wikipedia che parlano di reti, telecomunicazioni e protocolli di rete |
