Мониторинг сети - Xprobe2

Xprobe2 позволяет определить тип операционной системы на удалённой машине. Она посылает машине несколько сетевых пакетов и анализирует возвращаемые ответы.

В арсенале Xprobe2 как несколько знакомых по Nmap’у алгоритмов идентификации удаленной ОС, так и ряд уникальных методик, в основе которых лежат результаты научных исследований Офира Аркина.
Важным нововведением является модуль для обнаружения honeypot и систем с намеренно модифицированными параметрами стека TCP/IP. Для обхода ограничений используются алгоритмы нечеткой логики и собственные методики разработчиков. Помимо этого, в расчет берутся различные параметры поведения сетевых устройств. Например, pf, входящий в состав OpenBSD известен тем, что возвращает разные значения в поле TTL, когда за ним находится другая система.
В режиме сканирования TCP-портов (указывается флагом -T) Xprobe пытается найти и зафильтрованные брандмауэром сервисы. Аналогичным образом производится проверка UDP-портов, которая активируется флагом -U.
Примечательно, что Xprobe2 изначально реализовывала лишь один метод fingerprinting’а с помощью ICMP-запросов. Поддержка других механизмов, а также специальный fuzzing механизм, помогающий идентифицировать неизвестные системы или хосты с измененными параметрами стека TCP/IP, появились позже. Надо сказать, что операционную систему, используемую на сервере, Xprobe определяет довольно-таки точно, а если в процессе появились спорные моменты, то в отчет войдет также список наиболее вероятных ОС с процентным соотношением вероятности.

Сайт разработчика: http://sourceforge.net/apps/mediawiki/xprobe/index.php?title=Main_Page
Что почитать?

• Лучшие инструменты пен-тестера: исследование удаленной системы
• Os Fingerprinting : Теория И Практика
• Xprobe