Linux

p0f Nedir Ve Kullanımı

Reklam

p0f Nedir Ve Kullanımı

p0f Nedir?

p0f kelime anlamı olarak, pasif işletim sistemi belirleme ve trafik analizi olarak geçmektedir. Pasif denmesinin sebebi ağ üzerinde dinleme yaparak, trafiğine müdahale etmeden analiz yapıyor olmasıdır. Diğer ağ analiz araçları hedef sistemlere doğrudan paketler göndererek analizler gerçekleştirirken güvenlik nedeniyle engellenme ihtimalleri bulunuyor. Bu tip durumlarda p0f aracı ağ trafiği üzerinden analiz yaptığı için herhangi bir engellenme durumu olmadığından büyük öneme sahiptir.

Sızma testlerinde bilgi toplama aşamasında veya bir sistemin ağ loglarını incelemede kullanılır. Hangi sistemin nereye, hangi kanallar (portlar) üzerinden iletişim kurduğunu, uptime süreleri, http başlıklarından tarayıcı tespiti gibi birçok analiz becerisine sahiptir. Bu analizleri hızlı yapması ve pasif çalışma prensibinden herhangi bir engellenme durumu olmadığı için önemli bir ağ analiz aracıdır.

Nasıl yapıyor?
Bu analizleri ağ üzerinde giden ve gelen paketleri inceleyerek yapmaktadır. TCP bağlantılarının ilk aşaması olan “3’lü el sıkışma” aşamasında yollanan paketlerin IPv4 veya IPv6 headers bilgilerinden, TCP headers bilgilerinden ve diğer dinamiklerden yararlanarak analiz işlemlerini gerçekleştirir. Daha iyi anlaşılır olması için IPv4 ve TCP headers yapısı belirli bir formata sahiptir. Bu headers formatlarında birçok bilgiyi bitler halinde barındırmaktadır. Bu bilgiler sayesinde kontrollü ve güvenli bağlantı sağlanmış olur. p0f aracı da bu bilgilerden belirli analizler sonucu hızlı bir şekilde gerekli tespitleri yapabilmektedir.

IPv4 ve TCP Headers Şemaları

p0f Kurulum

p0f aracı Kali Linux 2019.4 sürümünde yüklü olarak gelmemektedir. Ama repo içerisinde bulunduğu için apt komutu ile hemen yüklenebilmektedir. Sizin sisteminizde yüklü olup olmadığını p0f -h komutunu deneyerek öğrenebilirsiniz.

Yüklü olmayanlar için terminale apt install p0f yazmaları yeterli olacaktır.

p0f Kullanım

Yükleme işleminden sonra p0f -h ile hangi parametrelerin ne işe yaradığını öğrenebilirsiniz. Önemli birkaç parametreyi burada açıklayacağım.

-i iface -> Belirli bir ağ arayüzünü dinlemek için kullanılır. Örn; p0f -i eth0 veya p0f -i wlan0 gibi.
-r file   -> Daha önce kaydı tutulmuş bir pcap ağ dosyasını incelemek için kullanılır. Örn; p0f -r dosyaismi.pcapng gibi.
-p        -> -i parametresi ile belirlenen ağ arayüzünü karışık modda çalıştırmaya yarar. -i parametresi ile beraber kullanılır.
-L        -> Mevcut tüm ağ arayüzlerini listelemeye yarar. Bilgisayarınızın eth0’da veya wlan0’da olduğunu buradan anlayabilirsiniz.
-o file  -> Ağ üzerinde yaptığınız analizleri çıktı olarak belirlediğiniz dosyaya kaydetmeye yarar.

Kullanımına geçmeden önce hangi ağ arayüzünü kullanacağımızı öğrenmek için terminale p0f -L yazıp görelim

Ben eth0 ağ arayüzünü kullanmaktayım. Ağ üzerindeki paketleri analiz edebilmek için terminale p0f -i eth0 -p komutunu girip dinlemeye alalım.

Şuan aracımız dinlemede beklemektedir. Ağ üzerinde herhangi bir paket yakaladığında hemen analizini yapıp kendine göre çıktılar oluşturmaktadır. Aşağıdaki çıktıyı biraz inceleyelim.

Burada Windows 7 veya 8 olarak tespit ettiği bilgisayarda bir FTP işlemini yakaladı. FTP olduğunu port sayesinde öğrenebildik. p0f aracının yaptığı analizleri çıktı olarak almakta fayda var. Zira çıktı alma parametresini kullanmadığınız zaman analizin yapıldığı terminal sürekli açık kalmak zorunda kalır. Hem garantiye almak hemde daha sonrasında tekrar inceleme yapabilmek adına -o parametresi ile çıktı almanızda önem var. Terminalde yeni bir p0f analizi başlatalım. p0f -i eth0 -p -o /root/p0ftest.log

Bu seferki analizde bir https isteğini yakaladık. Tek bir site isteği sırasında 167 paket analizi oluşturdu. Bu paketleri incelediğimizde işletim sistemini, http başlık bilgilerini, uptime sürelerini görebilirsiniz. Hangi IP’den hangi IP’ye istek yapıldığını, isteğin türünü öğrenebiliyoruz.
Başka bir kullanımı ise kendi isteğinize göre filtre uygulayabiliyor olmanız. Örneğin; p0f -i eth0 -p ‘port 80’ şeklinde komut girdiğimiz zaman ağ üzerinde sadece 80 portuna yapılan istekleri analiz edecektir. Bu şekilde analiz yaparken https isteklerini veya ssh,ftp gibi isteklerini analiz etmeyecektir.

Birde -r parametreli örnek gösterelim. Bunun için elinizde bir adet pcap dosyasına ihtiyaç var. Ben örnek olması açısından kali üzerinde wireshark ile bir pcapng dosyası oluşturup bunu p0f üzerinde test ettim.

Genel olarak p0f kullanımı bu şekilde. Sizlerde p0f aracı ile bu tarz ağ analizleri, bilgi toplama işlemlerini gerçekleştirebilirsiniz.

Etiketler
Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir