[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00959] Re: p.0.f

To: port139@xxxxxxxxxxxxx
Subject: [port139:00959] Re: p.0.f
From: DANNA <danna@xxxxxxxxxxx>
Date: Tue, 22 Jan 2002 11:38:53 +0900

ダンナ＠サポセンです。

> 土井田といいます。
> 
> Miharu wrote:
> これで使われている技術はnmapのそれと比べて大きく違うのでしょうか?

ボクも英語はちょっとアレですが。

ちょろっと paper を部分的に流し読みしただけですけど、Passive 
FingerPrinting はTTL、Window Size、Don't Fragment bit、TOS の
４つを判定基準として、データベースを作成するってことになってま
すね。

http://project.honeynet.org/papers/finger/

# p0f や Siphon がこの手法だけに頼っているのかは分かりませんが。

対する nmap は active にいろんなパケット送りつけて、その反応を
判定基準としているようです。そのなかのには前述の４つの要素も含
まれてますので、こちらの方がより正確に判定できるのではないかと
想像します。

http://www.insecure.org/nmap/nmap-fingerprinting-article.txt

実際に使った感じでは、nmap は判定基準が厳しいので、なんらかの
要因によって判定できないこともあります。ですが、結構正確かなぁ
って感じです。対する Siphon は結構大雑把な感じですね。


>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<

References:
- [port139:00956] p.0.f
  - From: Miharu
- [port139:00958] Re: p.0.f
  - From: Makoto Doita

Prev by Date: [port139:00958] Re: p.0.f
Next by Date: [port139:00960] Re: p.0.f
Previous by thread: [port139:00958] Re: p.0.f
Next by thread: [port139:00961] Re: p.0.f
Index(es):
- Date
- Thread