p0f es una herramienta de huellas digitales de pila TCP / IP pasiva . p0f puede intentar identificar el sistema que se ejecuta en máquinas que envían tráfico de red a la caja en la que se está ejecutando, oa una máquina que comparte un medio con la máquina en la que se está ejecutando. p0f también puede ayudar a analizar otros aspectos del sistema remoto.
Desarrollador (es) | Michał Zalewski |
---|---|
Lanzamiento estable | 3.09b / 18 de abril de 2016 |
Escrito en | C |
Sistema operativo | Linux , Macintosh , Microsoft Windows |
Tipo | Huellas digitales de pila TCP / IP |
Sitio web | lcamtuf |
Descripción general
Al inspeccionar el tráfico de red de forma pasiva, p0f puede intentar identificar los sistemas operativos en máquinas remotas que envían paquetes TCP a la interfaz de red de la máquina de detección, oa una subred física en la que la máquina de detección puede escuchar. [1] Desde la versión 3, p0f también puede deducir aspectos del sistema remoto inspeccionando los mensajes HTTP a nivel de aplicación. [1]
p0f también puede verificar la presencia de firewall. Puede estimar la distancia a un sistema remoto y calcular su tiempo de actividad. También adivina los medios del sistema remoto para conectarse a la red (DSL, OC3, etc.). [1]
A diferencia de herramientas como nmap , p0f no genera tráfico. [1] En cambio, determina el sistema operativo del host remoto analizando ciertos campos en los paquetes capturados. Esto puede tener beneficios en entornos donde la creación activa de tráfico de red causaría efectos secundarios inútiles. En particular, el sistema remoto no podrá detectar la captura e inspección de paquetes.
Uso
Las firmas utilizadas para la inspección de paquetes se almacenan en un archivo de texto simple. [2] Esto permite modificarlos sin tener que volver a compilar p0f. El usuario puede utilizar un archivo de huellas digitales diferente seleccionando otro en tiempo de ejecución .
p0f no tiene una interfaz gráfica de usuario. En su lugar, se ejecuta desde la línea de comandos.