Posteado por: Jose David Baena | julio 17, 2008

Usando P0f (I)- Un ordenador en una LAN cualquiera

Primer caso: Un ordenador en una LAN cualquiera

Este primer caso es muy sencillo pero nos sirve para darnos cuenta de qué es lo que hace p0f. Este ejemplo se ha llevado a cabo en una LAN en la que yo (el autor del documento) he sido el único que ha estado conectado a dicha LAN y generando tráfico y solicitándolo del exterior.

La situación se puede ver como la siguiente figura:

Empezamos a lanzar p0f para que nos pueda decir que tipo de sistema operativo mediante la información que captura que enviamos y recibimos cree que es:

root@joseda-mindlap:~# p0f ath0
p0f – passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
pcap_compile: syntax error in filter expression
See man tcpdump or p0f README for help on bpf filter expressions.

root@joseda-mindlap:~# p0f -i ath0
p0f – passive os fingerprinting utility, version 2.0.8
(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>
p0f: listening (SYN) on ‘ath0’, 262 sigs (14 generic, cksum 0F1F5CA2), rule: ‘all’.

192.168.1.113:52575 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 209.85.135.127:80 (distance 0, link: ethernet/modem)

192.168.1.113:56758 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 72.14.221.118:80 (distance 0, link: ethernet/modem)

192.168.1.113:56759 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 72.14.221.118:80 (distance 0, link: ethernet/modem)

192.168.1.113:52578 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 209.85.135.127:80 (distance 0, link: ethernet/modem)

192.168.1.113:42600 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 201.216.208.177:80 (distance 0, link: ethernet/modem)

192.168.1.113:38786 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 72.14.221.118:80 (distance 0, link: ethernet/modem)

192.168.1.113:38787 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 72.14.221.118:80 (distance 0, link: ethernet/modem)

192.168.1.113:42876 – Linux 2.6 (newer, 2) (up: 0 hrs)

-> 74.125.13.24:80 (distance 0, link: ethernet/modem)

+++ Exiting on signal 2 +++

[+] Average packet ratio: 5.45 per minute.

Como vemos, p0f con apenas un segundo, y nosotros habiéndonos conectado a google, nos dice que nuestro sistema es un Linux con el núcleo 2.6 y está en lo cierto. Para ello lo comprobamos en nuestro sistema:

root@joseda-mindlap:~# uname -r

2.6.22-14-generic

Ahora vamos a probar extraer la misma operación pero con un escaner activo como es nmap:

root@joseda-mindlap:~# nmap -O 192.168.1.113

Starting Nmap 4.20 ( http://insecure.org ) at 2008-05-30 17:57 CEST

Interesting ports on 192.168.1.113:

No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=4.20%D=5/30%OT=22%CT=1%CU=37642%PV=Y%DS=0%G=Y%TM=4840240A%
P=i686-OS:pc-linux-gnu)SEQ(SP=D1%GCD=1%ISR=EF%TI=Z%II=I%TS=8)OPS
(O1=M400CST11NW6%O

OS:2=M400CST11NW6%O3=M400CNNT11NW6%O4=M400CST11NW6%
O5=M400CST11NW6%O6=M400C

… Respuestas de varios tests………………………………………….

OS:0%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1
(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL

OS:=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE
(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI=S%D

OS:LI=S)

Uptime: 0.017 days (since Fri May 30 17:33:12 2008)

Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .

Nmap finished: 1 IP address (1 host up) scanned in 11.617 seconds

Dos cosas a destacar de este ejemplo:

  • Nmap no ha podido averiguar el sistema operativo
  • Nmap ha tardado casi 12 segundos frente a menos de un segundo con p0f

En una primera conclusión podemos decir:

  • para redes en las que haya tráfico, p0f nos será más útil. No generará trafico innecesario.
  • nmap generará tráfico innecesario, que puede hacer que observen nuestras acciones.
  • El caso de que p0f haya durado mucho menos no significa que siempre sea así. Cuando se realizaron estas pruebas, se estaban solicitando datos de streaming de youtube…Si no hubiese trafico, p0f habría tardado tanto tiempo como hubiese sido necesario para capturar paquetes, y sin embargo nmap hubiera tardado lo mismo (aprox. 12 seg.).

Posts relacionados:

  1. Fingerprinting

  2. Fingerprinting activo y pasivo

  3. La herramienta de fingerprinting P0F

  4. Usando P0f (I)- Un ordenador en una LAN cualquiera

  5. Usando P0f (II)- Trabajando con un archivo de capturas.

  6. Usando P0f (III) – P0f para OS Guessing remoto.

  7. Usando P0f (IV) – P0f para OS Guessing de máquinas que rechazan nuestras conexiones.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: