p0f3 api py

這是P0F3的簡單API客戶端，可在http://lcamt​​uf.coredump.cx/p0f3/上找到。它與2.x版或1.x版本不兼容。使用-s path/to/unix_socket選項啟動P0F。

基本用法：

從P0F導入P0F，P0FException

數據=無
p0f = p0f（“ p0f.sock”）＃將其指向用“ -s”參數定義的套接字。
嘗試：
    data = p0f.get_info（“ 192.168.0.1”）
除了p0fexception，e：
    ＃無效查詢已發送到P0F。也許API發生了變化？
    打印e
除了KeyError，E：
    ＃此IP地址沒有數據。
    打印e
Evalue Error，E：
    ＃P0F返回無效的常數值。也許API發生了變化？
    打印e

如果數據：
    打印“首先看到：”，數據[“ first_seen”]
    打印“最後一個看：”，數據[“ last_seen”]

有關P0F返回的數據的完整數據，請參見示例/django_models.py。

Django中間件可在p0f.django.middleware中找到。

要使用，請將P0FSOCKET = "path/to/p0f_unix_socket"添加到項目的MIDDLEWARE_CLASSES和p0f.django.middleware.P0fMiddleware 。

中間件將p0f屬性添加到所有傳入請求中。如果連接到P0F失敗或P0F未返回遠程IP地址的數據， request.p0f 。

這些描述的一部分是從http://lcamt​​uf.coredump.cx/p0f3/readme中無恥複製的：

默認情況下，以下字段進行解析：

• dateTime： first_seen
• 日期： last_seen
• TimeDERTA：正常運行時間
• int： uptime_sec
• TIMEDERTA： UP_MOD_DAYS
• DateTime： last_nat
• 日期： last_chg

此外， bad_sw和os_match_q已驗證。如果遇到不正確的值，則會提高“ ValueError”。對於所有空字段，無用於空字符串或常數：

• uptime_min
• uptime_sec
• 正常運行時間
• UP_MOD_DAYS
• last_nat
• last_chg
• 距離
• bad_sw
• OS_NAME
• OS_flavor
• http_flaver
• link_type
• 語言

該解析和驗證可以通過

p0f.get_info（“ 192.168.0.1”，true）

對字段的完整描述：

• int： first_seen -unix時間（秒）對主機的第一次觀察。
• int： last_seen-最近流量的UNIX時間（秒）。
• int： total_conn-看到的連接總數。
• int： uptime_min-在幾分鐘內計算出的系統正常運行時間。零，如果不知道。
• int： up_mod_days-幾天內，正常運行時間環繞間隔。
• int： last_nat-最新檢測IP共享（NAT，負載平衡，代理）的時間。如果從未檢測到零。
• int： last_chg-最新單個OS不匹配的時間（例如，由於多腳或IP重複使用）。
• int：距離- 系統距離（從TTL派生；如果沒有數據，則源自TTL； -1）。
• INT： BAD_SW -P0F認為用戶代理或服務器字符串不准確。 1的值表示OS差異（可能是由於代理造成的），而2表示完全不匹配。注意：如果根本不存在用戶代理，則此值停留在0。
• INT： OS_MATCH_Q- OS匹配質量：正常匹配項0； 1對於模糊（例如，TTL或DF差異）； 2用於通用簽名；和3。
• 字符串： OS_NAME-最新陽性匹配的OS的名稱。如果OS不知道，則OS_NAME是空字符串。注意：如果首先使用已知系統看到主機，然後切換到未知的系統，則該字段不是重置的。
• 字符串： OS_FLAIR -OS版本。如果沒有數據，則可能是空的。
• 字符串： http_name-最新的正面確定的HTTP應用程序（例如'Firefox'）。
• 字符串： http_flavor- http應用程序的版本（如果有）。
• 字符串： link_type-網絡鏈接類型（如果已識別）。
• 字符串：語言- 系統語言，如果識別。

請參閱LICENDE.TXT