Posteado por: Jose David Baena | julio 17, 2008

Usando P0f (III) – P0f para OS Guessing remoto.

Una vez visto lo básico de p0f y como trabaja dicha herramienta, es hora de intentar averiguar el sistema operativo de un destino al que nos conectemos.

Sí, se ha leído bien, no se trata de averiguar conexiones que nos realizan o pasan por nuestra máquina, sino de conexiones que hacemos nosotros a otras máquinas; y dicha técnica no es considerada activa, sino pasiva. Como dijimos al comienzo del documento, p0f tiene tres tipos de fingerprinting pasivo.

Para este nuevo caso, usamos la opción de p0f -A:

A semi-supported option for SYN+ACK mode. This option will cause p0f to fingerprint systems you connect to, as opposed to systems that connect to you (default). With this option, p0f will look for p0fa.fp file instead of the usual p0f.fp. The usual config is NOT SUITABLE for this mode.

The SYN+ACK signature database is sort of small at the moment, but suitable for many uses. Feel free to contribute.

Una estructura de la red para este nuevo ejemplo sería algo parecido a la siguiente figura:

Y los resultados con P0f son los siguientes:

root@joseda-mindlap:~# p0f -i ath0 -A

p0f – passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (SYN+ACK) on ‘ath0’, 61 sigs (1 generic, cksum B253FA88), rule: ‘all’.

… Muchos resultados….. Se omite por legibilidad

216.73.87.153:80 – UNKNOWN [16384:251:0:64:M1452,N,W0,N,N,T0,N,N,S:A:?:?]

-> 192.168.1.113:44662 (link: pppoe (DSL))

74.125.39.164:80 – UNKNOWN [5672:251:0:60:M1430,S,T,N,W6:AT:?:?] (up: 2598 hrs) -> 192.168.1.113:48224 (link: (Google 2))

74.125.97.33:80 – UNKNOWN [5792:251:1:60:M1452,S,T,N,W6:ZAT:?:?] (up: 9679 hrs) -> 192.168.1.113:43821 (link: pppoe (DSL))

74.125.97.30:80 – UNKNOWN [5792:251:1:60:M1452,S,T,N,W6:ZAT:?:?] (up: 9677 hrs) -> 192.168.1.113:54651 (link: pppoe (DSL))

209.85.135.127:80 – UNKNOWN [5672:251:0:60:M1430,S,T,N,W6:AT:?:?] (up: 2546 hrs) -> 192.168.1.113:49417 (link: (Google 2))

209.85.135.127:80 – UNKNOWN [5672:251:0:60:M1430,S,T,N,W6:AT:?:?] (up: 2554 hrs) -> 192.168.1.113:49418 (link: (Google 2))

74.125.13.18:80 – UNKNOWN [5792:251:1:60:M1452,S,T,N,W6:ZAT:?:?] (up: 6626 hrs) -> 192.168.1.113:59698 (link: pppoe (DSL))

72.14.221.118:80 – UNKNOWN [5672:251:0:60:M1430,S,T,N,W6:AT:?:?] (up: 643 hrs) -> 192.168.1.113:41014 (link: (Google 2))

209.85.135.127:80 – UNKNOWN [5672:251:0:60:M1430,S,T,N,W6:AT:?:?] (up: 2554 hrs) -> 192.168.1.113:57794 (link: (Google 2))

Cuando se lanzó p0f -A, se visitaron las paginas de Google y youtube. En la captura anterior solo hemos mostrado parte de la salida, puesto que es muy larga y muy parecida… También nos conectamos a otros sitios como el servidor del ……OMITIDO….. y también nos dió como sistema operativo desconocido. Visto lo visto, decidí probar a ver si me reconocía una conexión que realizase a un servidor apache que tengo escuchando en el puerto 80 de mi máquina y mi sorpresa fue , que tampoco me lo reconocía el sistema operativo, dándomelo como UNKNOWN.

De esta parte de la aplicación, puede concluir que está todavía por desarrollar bastante, aunque vista la efectividad que tiene el análisis por defecto del p0f y como dice su autor en la página del proyecto, mejorará para futuras versiones como p0f 3.0…

Posts relacionados:

  1. Fingerprinting

  2. Fingerprinting activo y pasivo

  3. La herramienta de fingerprinting P0F

  4. Usando P0f (I)- Un ordenador en una LAN cualquiera

  5. Usando P0f (II)- Trabajando con un archivo de capturas.

  6. Usando P0f (III) – P0f para OS Guessing remoto.

  7. Usando P0f (IV) – P0f para OS Guessing de máquinas que rechazan nuestras conexiones.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: