linux的p0f检测，分析抓包信息

p0f是一个纯粹的被动指纹识别工具，它在不干涉双方通信的情况下，通过嗅探的方式来分析流经某一网卡的流量以达到指纹识别的目的

P0f是继Nmap和Xprobe2之后又一款远程操作系统被动判别工具。它支持：
1、反连SYN 模式
2、正连SYN+ACK 模式
3、空连RST+ 模式
4、碎片ACK 模式

P0f比较有特色的是它还可以探测：

A、是否运行于防火墙之后
B、是否运行于NAT模式
C、是否运行于负载均衡模式
D、远程系统已启动时间
E、远程系统的DSL和ISP信息等

用法: p0f [ …选项… ] [ ‘过滤规则’ ]

网络接口选项:

-i iface - 指定监听的网络接口
-r file - 读取由抓包工具抓到的网络数据包文件
-p - 设置 -i参数 指定的网卡 为混杂模式
-L - 列出所有可用接口

操作模式和输出设置:

-f file - 指定指纹数据库 (p0f.fp) 路径，不指定则使用默认数据库。(默认：/etc/p0f/p0f.fp)
-o file - 将信息写入指定的日志文件中。只有同一网卡的log文件才可以附加合并到本次监听中来。
-s name - 回答 unix socket 的查询 API
-u user - 以指定用户身份运行程序，工作目录会切换到到当前用户根目录下；
-d - 以后台进程方式运行p0f ,需要配合-0或者-s选项

性能相关的选项:

-S limit - 设置API并发数，默认为20，上限为100；
-t c,h - 设置连接超时时间 (30s,120m)
-m c,h - 设置最大网络连接数(connect)和同时追踪的主机数(host)(默认值: c = 1,000, h = 10,000).

数据包区分操作系统