Primeiro, uma generalidade: os timestamps são cruciais. Use o NTP para sincronizar o relógio do sistema, certifique-se de que o relógio não esteja oscilando em todo o lugar. Depois disso, você pode passar para o básico.
Eu sugeriria executar o p0f de Michal Zalewski e registrar seus palpites sobre as solicitações TCP de entrada. Estou usando versão 2 , mas o Zalewski tem um ersion 3 out.
O CERT na Carnegie Mellon tem um arquivo de impressão digital p0f v2.x amplamente atualizado .
Você pode executar p0f v2.x em segundo plano com uma invocação como esta:
p0f -f $FPRINTS -d -t -l -o $LOGFILE
$FPRINTS nomeia o arquivo de impressões digitais e $LOGFILE nomeia o arquivo no qual a saída é finalizada.
p0f lhe dará uma boa idéia sobre qual sistema operacional o atacante usa. Você terá que coordenar p0f com quaisquer outros dados coletados.
Uma alternativa: SinFP3 . Eu achei um pouco difícil de instalar, pois tinha algumas dependências de módulo Perl não padrão.