p0f3 api py

这是P0F3的简单API客户端，可在http://lcamt​​uf.coredump.cx/p0f3/上找到。它与2.x版或1.x版本不兼容。使用-s path/to/unix_socket选项启动P0F。

基本用法：

从P0F导入P0F，P0FException

数据=无
p0f = p0f（“ p0f.sock”）＃将其指向用“ -s”参数定义的套接字。
尝试：
    data = p0f.get_info（“ 192.168.0.1”）
除了p0fexception，e：
    ＃无效查询已发送到P0F。也许API发生了变化？
    打印e
除了KeyError，E：
    ＃此IP地址没有数据。
    打印e
Evalue Error，E：
    ＃P0F返回无效的常数值。也许API发生了变化？
    打印e

如果数据：
    打印“首先看到：”，数据[“ first_seen”]
    打印“最后一个看：”，数据[“ last_seen”]

有关P0F返回的数据的完整数据，请参见示例/django_models.py。

Django中间件可在p0f.django.middleware中找到。

要使用，请将P0FSOCKET = "path/to/p0f_unix_socket"添加到项目的MIDDLEWARE_CLASSES和p0f.django.middleware.P0fMiddleware 。

中间件将p0f属性添加到所有传入请求中。如果连接到P0F失败或P0F未返回远程IP地址的数据， request.p0f 。

这些描述的一部分是从http://lcamt​​uf.coredump.cx/p0f3/readme中无耻复制的：

默认情况下，以下字段进行解析：

• dateTime： first_seen
• 日期： last_seen
• TimeDERTA：正常运行时间
• int： uptime_sec
• TIMEDERTA： UP_MOD_DAYS
• DateTime： last_nat
• 日期： last_chg

此外， bad_sw和os_match_q已验证。如果遇到不正确的值，则会提高“ ValueError”。对于所有空字段，无用于空字符串或常数：

• uptime_min
• uptime_sec
• 正常运行时间
• UP_MOD_DAYS
• last_nat
• last_chg
• 距离
• bad_sw
• OS_NAME
• OS_flavor
• http_flaver
• link_type
• 语言

该解析和验证可以通过

p0f.get_info（“ 192.168.0.1”，true）

对字段的完整描述：

• int： first_seen -unix时间（秒）对主机的第一次观察。
• int： last_seen-最近流量的UNIX时间（秒）。
• int： total_conn-看到的连接总数。
• int： uptime_min-在几分钟内计算出的系统正常运行时间。零，如果不知道。
• int： up_mod_days-几天内，正常运行时间环绕间隔。
• int： last_nat-最新检测IP共享（NAT，负载平衡，代理）的时间。如果从未检测到零。
• int： last_chg-最新单个OS不匹配的时间（例如，由于多脚或IP重复使用）。
• int：距离- 系统距离（从TTL派生；如果没有数据，则源自TTL； -1）。
• INT： BAD_SW -P0F认为用户代理或服务器字符串不准确。 1的值表示OS差异（可能是由于代理造成的），而2表示完全不匹配。注意：如果根本不存在用户代理，则此值停留在0。
• INT： OS_MATCH_Q- OS匹配质量：正常匹配项0； 1对于模糊（例如，TTL或DF差异）； 2用于通用签名；和3。
• 字符串： OS_NAME-最新阳性匹配的OS的名称。如果OS不知道，则OS_NAME是空字符串。注意：如果首先使用已知系统看到主机，然后切换到未知的系统，则该字段不是重置的。
• 字符串： OS_FLAIR -OS版本。如果没有数据，则可能是空的。
• 字符串： http_name-最新的正面确定的HTTP应用程序（例如'Firefox'）。
• 字符串： http_flavor- http应用程序的版本（如果有）。
• 字符串： link_type-网络链接类型（如果已识别）。
• 字符串：语言- 系统语言，如果识别。

请参阅LICENDE.TXT