passive TCP/IP OS fingerprinting - Форум успешных вебмастеров

Integrator · 18.08.2011, 22:53

Стоит задача определять ОС удаленного хоста путем анализа TCP/IP пакетов пассивным методом. Есть такая штука p0f и mod_pof к апачу, которые должны решать эту задачу, но сцуко не обновлялись с 2006-го года и не компилируются

Сталкивался кто с такой задачей, может какие-то аналоги есть?

tobari · 18.08.2011, 23:04

не сталкивался, но я бы смотрел в сторону сорцов nmap

Цитата:

хоста путем анализа TCP/IP пакетов пассивным методом

тут не совсем понятно, что значит пассивным.
я так понимаю, что хост сам контактирует с твоим серваком, допустим, через апач, а тебе нужно проанализировать пакеты, которые пришли, но в ответ ничего не слать для анализа?

Integrator · 18.08.2011, 23:12

Цитата:

тут не совсем понятно, что значит пассивным.
я так понимаю, что хост сам контактирует с твоим серваком, допустим, через апач, а тебе нужно проанализировать пакеты, которые пришли, но в ответ ничего не слать для анализа?

ну вот nmap сам посылает пакеты, а p0f анализирует входящие пакеты, обращения к апачу например, не отсылая никаких запросов

Цитата:

не сталкивался, но я бы смотрел в сторону сорцов nmap

nmap работает другим методом во-первых, во-вторых делать свое решение это довольно сложно, нужно готовое

tobari · 18.08.2011, 23:36

скомпилился p0f

сливаешь http://linuxbox.co.uk/mod_pof-0.1.tar.gz
потом http://lcamtuf.coredump.cx/p0f/p0f-latest.tgz
из последнего архива берешь файлы: p0f-query.h , config.h , types.h
копируешь их в папку mod_pof
apxs -c mod_pof.c
появляется файл ./mod_pof/.libs/mod_pof.so
про работоспособность не скажу, не тестил

tobari · 19.08.2011, 00:36

кстати, отличная идея, что бы ботов фильтровать с фейковыми юзер агентами

Integrator · 19.08.2011, 01:09

большое спасибо, проверю