Instalación de PRADS (Passive Real-time Asset Detection System).

Lo podemos instalar de dos formas; directamente mediante apt-get install prad o desde el repositorio git:

sudo apt-get install build-essential git-core libpcre3-dev libpcap0.8-dev
git clone http://github.com/gamelinux/prads.git
cd prads/src/
make

En mi caso he instalado mediante apt-get install, que instalará el paquete prads_0.3.0-1_i386.deb

Uso básico de PRADS.

Tenemos una serie de opciones entre las que podemos destacar:

-i eth(x) para indicar la interface
-r para indicar un fichero .pcap
-c leer un archivo de configuración
-b aplicar filtro BPF
-a aplicamos una HOME_NET
-D ejecutar en modo daemon
-l fichero de log por defecto en /var/log/prads-asset.log
-XFRMSAK seleccionamos flgas: X – borrar flags, F:FIN, R:RST, M:MAC, S:SYN, A:ACK, K:SYNACK
-UTtI seleccionamos servicio en base a protocolo: U:UDP, T:TCP-server, I:ICMP, t:TCP-cLient
-s tamaño snaplen en bytes
-v modo verbouse para más información
-Z passive DNS

Ejecutamos PRADS de la forma:

sudo prads -i eth0 -v

al final obtenermos las estadísticas:

aplicamos alguna opción más (arriba teneis la descripciób de las opciones) y filtramos con grep:

También lo podríamos hacer de forma algo más “manual” en base a datos como TTL y TCP Windows Size mediante Tshark:

Por ejemplo, con un TTL de 128 y TCP Windows Size de 65535, es muy posible que se trate de Windows XP.

NOTA: Más arriba, en la introducción, os hablo de Satori. Os dejo un enlace sobre esta herramienta en Flu-Project: http://www.flu-project.com/fingerprinting-pasivo-con-satori.html