Minęło już ponad 5 lat od ostatniej aktualizacji rewelacyjnego narzędzia do pasywnej identyfikacji systemów operacyjnych oraz urządzeń sieciowych autorstwa Michała Zalewskiego, znanego również jako lcamtuf. Gdy wszystkim wydawało się, że narzędzie nie będzie już rozwijane, dzisiaj lcamtuf ogłosił powstanie nowej wersji.
P0f v3 został całkowicie napisany od nowa. Aktualizacja objemuje również lepsze metody identyfikacji systemów w oparciu o pakiety SYN i SYN+ACK oraz wprowadza analizę ruchu na warstwie aplikacyjnej (na razie HTTP). Otrzymujemy także nowe API i wsparcie IPv6. P0f pozwala również na identyfikację przypadków fałszowania sygnatur ruchu w celu ukrycia prawdziwej tożsamości systemu nadawcy ruchu.
Obecnie dostępna jest wersja pre-release a autor zachęca do jej testowania. Warto także odwiedzić stronę nowej wersji, gdzie można zobaczyć wynik próby identyfikacji używanego przez nas systemu operacyjnego i zgłosić ewentualne poprawki, pomagając tym samym rozbudować bazę sygnatur.
Podstawową funkcjonalnością p0f’a jest identyfikacja systemów operacyjnych działających na:
- urządzeniach, które łączą się z naszym komputerem
- urządzeniach, z którymi łączy się nasz komputer
- urządzeniach, z którymi nasz komputer nie może się połączyć
- urządzeniach, których komunikację nasz komputer może podsłuchać.
P0f wykrywa również:
- firewalle, stosowanie NAT-a
- istnienie load balancerów
- odległość do zdalnego systemu i jego uptime
- konfigurację połączenia zdalnego systemu.
Do tego wszystkie te funkcje p0f realizuje całkiem pasywnie, nie generując żadnego ruchu sieciowego, a jedynie obserwując ruch generowany przez inne urządzenie.