P0f——新的远程OS指纹被动判别工具

点击打开链接

　　p0f对于网络攻击非常有用，它利用SYN数据包实现操作系统被动检测技术，能够正确地识别目标系统类型。和其他扫描软件不同，它不向目标系统发送任何的数据，只是被动地接受来自目标系统的数据进行分析。因此，一个很大的优点是：几乎无法被检测到，而且p0f是专门系统识别工具，其指纹数据库非常详尽，更新也比较快，特别适合于安装在网关中。

　　P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载，没有名称搜索、没有秘密探测、没有ARIN查询，什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等！

　　p0f 是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。它支持：

　　反连SYN 模式

　　正连SYN+ACK 模式

　　空连RST+ 模式

　　碎片ACK模式

　　p0f比较有特色的是它还可以探测：

　　是否运行于防火墙之后

　　是否运行于NAT模式

　　是否运行于负载均衡模式

　　远程系统已启动时间

　　远程系统的DSL和ISP信息等

　　输出类似的报表：

　　192.165.38.73:20908 - OpenBSD 3.0-3.4 (up: 836 hrs)  
　　-> 217.8.32.51:80 (distance 6, link: GPRS or FreeS/WAN)  
　　192.165.38.73:21154 - Linux 2.4/2.6 (NAT!) (up: 173 hrs)  
　　-> 217.8.32.51:80 (distance 6, link: GPRS or FreeS/WAN)  
　　192.165.38.73:22003 - Windows XP Pro SP1, 2000 SP3 (NAT!)  
　　-> 217.8.32.51:80 (distance 6, link: GPRS or FreeS/WAN)