p0f是一个纯粹的被动指纹识别工具,它在不干涉双方通信的情况下,通过嗅探的方式来分析流经某一网卡的流量以达到指纹识别的目的
P0f是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。它支持:
1、反连SYN 模式
2、正连SYN+ACK 模式
3、空连RST+ 模式
4、碎片ACK 模式
P0f比较有特色的是它还可以探测:
A、是否运行于防火墙之后
B、是否运行于NAT模式
C、是否运行于负载均衡模式
D、远程系统已启动时间
E、远程系统的DSL和ISP信息等
用法: p0f [ …选项… ] [ ‘过滤规则’ ]
网络接口选项:
-i iface - 指定监听的网络接口
-r file - 读取由抓包工具抓到的网络数据包文件
-p - 设置 -i参数 指定的网卡 为混杂模式
-L - 列出所有可用接口
操作模式和输出设置:
-f file - 指定指纹数据库 (p0f.fp) 路径,不指定则使用默认数据库。(默认:/etc/p0f/p0f.fp)
-o file - 将信息写入指定的日志文件中。只有同一网卡的log文件才可以附加合并到本次监听中来。
-s name - 回答 unix socket 的查询 API
-u user - 以指定用户身份运行程序,工作目录会切换到到当前用户根目录下;
-d - 以后台进程方式运行p0f ,需要配合-0或者-s选项
性能相关的选项:
-S limit - 设置API并发数,默认为20,上限为100;
-t c,h - 设置连接超时时间 (30s,120m)
-m c,h - 设置最大网络连接数(connect)和同时追踪的主机数(host)(默认值: c = 1,000, h = 10,000).
数据包区分操作系统
