P0f
P0f software | |
---|---|
Genere | Utility |
Sviluppatore | Michał Zalewski |
Data prima versione | 2000 |
Ultima versione | 3.09b |
Sistema operativo | Multipiattaforma |
Linguaggio | C |
Sito web | lcamtuf.coredump.cx/p0f3/ |
P0f (acronimo di Passive OS fingerprinting) è un Software Open Source (licenza GPL) che attraverso la tecnica fingerprinting passivo riesce a determinare il sistema operativo di un host remoto.[1][2]
Metodi di identificazione[modifica | modifica wikitesto]
Esistono sostanzialmente due tecniche per determinare da remoto il sistema operativo di un target.[3]
Metodo tradizionale[modifica | modifica wikitesto]
Metodo utilizzato in programmi quali queso e nmap, consiste nel trasmettere una sequenza di pacchetti anomali e analizzarne le risposte. Ogni sistema operativo caratterizzerà le risposte.
Metodo passivo[modifica | modifica wikitesto]
Consiste nell'analizzare il traffico presente sulla rete (Sniffing) notando le caratterizzazioni presenti nei pacchetti.
Il TTL (Time to live) è il numero massimo di router che il pacchetto può attraversare prima di essere rimosso dalla rete (operazione di drop); quando il valore raggiunge 0, il pacchetto viene rimosso dalla rete, e un messaggio ICMP è restituito al mittente. L'insieme di valori TTL differisce a seconda del sistema operativo utilizzato. Per esempio i sistemi Windows avranno un valore di 32, mentre per Linux avrà un TTL di 64. Il formato della finestra è l'opzione di controllo di flusso usata nel TCP.
Quando un ospite inizia un collegamento, esso rende noto lo spazio messo a disposizione in modo da non essere sommerso da dati troppo consistenti. Il DF è l'insieme di valori di frammentazione del pacchetto. Il TOS (tipo di servizio) è regolato da quattro valori: minimizzare, elevare il rendimento, elevare l'affidabilità, minimizzare il costo. Per esempio i pacchetti del Telnet hanno il valore "minimizzare", mentre l'SNMP ha l'opzione di elevare l'affidabilità.
Vantaggi[modifica | modifica wikitesto]
Il vantaggio principale della tecnica passiva risiede nella sua metodologia non invasiva. Questa caratteristica permette di non essere facilmente individuabili da software di controllo Intrusion detection system/Firewall.[4]
Note[modifica | modifica wikitesto]
- ^ (EN) Passive OS Fingerprinting, su Netresec. URL consultato il 3 giugno 2020.
- ^ (EN) p0f, su lcamtuf.coredump.cx. URL consultato il 3 giugno 2020.
- ^ (EN) Passive Fingerprinting - an overview, su sciencedirect.com. URL consultato il 3 giugno 2020.
- ^ (EN) CAPEC - CAPEC-313: Passive OS Fingerprinting, su capec.mitre.org. URL consultato il 3 giugno 2020.
Voci correlate[modifica | modifica wikitesto]
Collegamenti esterni[modifica | modifica wikitesto]
- Sito ufficiale, su lcamtuf.coredump.cx.
- P0f, su packages.debian.org.