{"id":676,"date":"2012-01-17T16:01:07","date_gmt":"2012-01-17T15:01:07","guid":{"rendered":"https:\/\/www.digdeo.fr\/?p=676"},"modified":"2022-03-16T12:06:44","modified_gmt":"2022-03-16T11:06:44","slug":"p0f-empreinte-passive-systemes-exploitation","status":"publish","type":"post","link":"https:\/\/www.digdeo.fr\/articles\/securite\/p0f-empreinte-passive-systemes-exploitation","title":{"rendered":"p0f prise d’empreinte passive des syst\u00e8mes d’exploitation"},"content":{"rendered":"\n

Lorsqu’il s’agit d’identifier des machines sur un r\u00e9seau gr\u00e2ce \u00e0 ses empreintes, on pense par habitude \u00e0 Nmap<\/a>. Nmap est un scanner r\u00e9seau capable notamment d’identifier le syst\u00e8me d’exploitation d’une machine en fonction des empreintes laiss\u00e9es dans les paquets TCP\/IP.<\/p>\n\n\n\n\n\n\n\n

Mais Nmap est actif, c’est \u00e0 dire qu’il va interroger la machine distante en forgeant des paquets sp\u00e9cifiques pour obtenir des r\u00e9ponses aptes \u00e0 trahir tel ou tel syst\u00e8mes d’exploitation.<\/p>\n\n\n\n

Ecouter et d\u00e9tecter en passif sur le r\u00e9seau<\/h2>\n\n\n\n

A l’inverse p0f est passif, il va \u00e9couter le trafic r\u00e9seau qui passe et faire ses analyses en cons\u00e9quences. Cela peut s’av\u00e9rer un peu plus long qu’avec Nmap m\u00eame si dans la pratique une machine bureautique se fait tr\u00e8s rapidement reconnaitre avec quelques flux HTTP. Le gros avantage du mode passif r\u00e9side dans le fait que p0f peut tourner dans un coin de votre r\u00e9seau un peu comme un scanner de vuln\u00e9rabilit\u00e9. Il suffira juste de lui mettre un port r\u00e9seau en mirroring pour lui adresser une copie des flux de certains autres ports r\u00e9seaux (patte DMZ, r\u00e9seau wifi guest, …).<\/p>\n\n\n\n

.-[ 1.2.3.4\/1524 -> 4.3.2.1\/80 (syn) ]-\n|\n| client   = 1.2.3.4\n| os       = Windows XP\n| dist     = 8\n| params   = none\n| raw_sig  = 4:120+8:0:1452:65535,0:mss,nop,nop,sok:df,id+:0\n|\n`----\n\n.-[ 1.2.3.4\/1524 -> 4.3.2.1\/80 (mtu) ]-\n|\n| client   = 1.2.3.4\n| link     = DSL\n| raw_mtu  = 1492\n|\n`----\n\n.-[ 1.2.3.4\/1524 -> 4.3.2.1\/80 (uptime) ]-\n|\n| client   = 1.2.3.4\n| uptime   = 0 days 11 hrs 16 min (modulo 198 days)\n| raw_freq = 250.00 Hz\n|\n|\n`----\n\n.-[ 1.2.3.4\/1524 -> 4.3.2.1\/80 (http request) ]-\n|\n| client   = 1.2.3.4\/1524\n| app      = Firefox 5.x or newer\n| lang     = English\n| params   = none\n| raw_sig  = 1:Host,User-Agent,Accept=[text\/html,application\/xhtml+xml...\n|\n`----\n<\/pre>\n\n\n\n
Autre avantage ind\u00e9niable dans un environnement de production, c’est la recherche d’informations sur des intrusions ou des attaques, les administrateurs syst\u00e8mes capturent souvent le trafic lors de ces \u00e9v\u00e8nements pour mieux les analyser. p0f est capable de lire les fichiers PCAP g\u00e9n\u00e9r\u00e9 par un outil comme TCPDUMP ou WIRESHARK.<\/p>\n\n\n\n
La version 3 de p0f vient de sortir, cette version est majeure et apporte une r\u00e9\u00e9criture compl\u00e8te ainsi que l’analyse des flux applicatifs.<\/p>\n\n\n\n