PRADS. Passive Real-time Asset Detection System.

Para la detección de sistema operativo basado en OS fingerprinting exite diversas herramientas y técnicas, pueden ser también herramientas de análisis pasivo o activo, etc. Tenemos por ejemplo p0fQuesSO (implementadas en herramientas como scapy), Satori, etc. NetworkMiner también lo hace.

En esta ocasión vamos a instalar y ver el funcionamiento de PRADS (Passive Real-time Asset Detection System), una herramienta perl para la detección de sistema operativo en tiempo real.

Instalación de PRADS (Passive Real-time Asset Detection System).

Lo podemos instalar de dos formas; directamente mediante apt-get install prad o desde el repositorio git:

sudo apt-get install build-essential git-core libpcre3-dev libpcap0.8-dev
git clone http://github.com/gamelinux/prads.git
cd prads/src/
make

En mi caso he instalado mediante apt-get install, que instalará el paquete prads_0.3.0-1_i386.deb

Uso básico de PRADS.

Tenemos una serie de opciones entre las que podemos destacar:

  •  -i eth(x) para indicar la interface
  • -r para indicar un fichero .pcap
  • -c leer un archivo de configuración
  • -b aplicar filtro BPF
  • -a aplicamos una HOME_NET
  • -D ejecutar en modo daemon
  • -l fichero de log por defecto en  /var/log/prads-asset.log
  • -XFRMSAK  seleccionamos flgas: X – borrar flags, F:FIN, R:RST, M:MAC, S:SYN, A:ACK, K:SYNACK
  • -UTtI seleccionamos  servicio en base a protocolo: U:UDP, T:TCP-server, I:ICMP, t:TCP-cLient
  • -s tamaño snaplen en bytes
  • -v modo verbouse para más información
  • -Z passive DNS

Ejecutamos PRADS de la forma:

sudo prads -i eth0 -v

al final obtenermos las estadísticas:

aplicamos alguna opción más (arriba teneis la descripciób de las opciones) y filtramos con grep:

También lo podríamos hacer de forma algo más “manual” en base a datos como TTL y TCP Windows Size mediante Tshark:

Por ejemplo, con un TTL de 128 y TCP Windows Size de 65535, es muy posible que se trate de Windows XP.

NOTA: Más arriba, en la introducción, os hablo de Satori. Os dejo un enlace sobre esta herramienta en Flu-Project: http://www.flu-project.com/fingerprinting-pasivo-con-satori.html

==========================================

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Seguridad y redes. Guarda el enlace permanente.

Una respuesta a PRADS. Passive Real-time Asset Detection System.

  1. nx0 dijo:

    No conocía PRADS. Historicamente siempre he usado PADS (Passive Asset Detection System) pero este no lo conocía. Gracias por el artículo, en tu blog siempre hay cosas útiles🙂

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s