Wiresharkダンプを使用してネットワークをパッシブにマッピングする方法は?
私は現在ネットワークマッピングに飛び込んでおり、これを密かに行うためには、なぜ既存のネットワークトラフィックをリッスンしないのかと考えました。 Wiresharkのダンプには通常、メトリックトンの情報が含まれています。少なくとも、稼働中のホストと、明らかに通信が行われているいくつかのポートに関する情報があります。私はwiresharkダンプからこの情報を抽出し、zenmapやMetasploitデータベース(ホスト/サービス)などのツールで情報を取得したいと思います
「パッシブネットワークマッピング」と「パッシブネットワーク検出」を「wireshark」と「zenmap」と組み合わせてグーグル検索しましたが、何も見つかりませんでした。これは問題ではありませんか、それとも間違って検索していますか?
何もない場合は、PythonまたはRubyスクリプトがこれを実行していることから始めます。
ありがとう
コンテキストの背景情報:組織によっては、セキュリティの高いネットワークまたは運用ネットワーク用にフルパケットキャプチャを保存します。これを行う商用製品もあります。人々は間違いなくあなたが話していることを行いますが、あなたが言及する理由のために常にではありませんが、それは良い副次的な利点です。理想的には、ネットワーク上の主要な(入力/出力)コントロールポイントでの光タップが必要です。次に、必要な関連データを自動的に取得し、.PCAP情報を保存して解析できるように、tsharkをセットアップします(テキストベースのWiresharkの方がパフォーマンスが少し優れています)。これは、APTおよびマルウェア通信を見つけるために頻繁に行われますが、他にも多くの用途があります。
とは言っても、人々がネットワーク検出の主要な手段としてこれを行わない理由の1つは、一部のデバイスが入出力ポイントを介して通信することはほとんどないか、まったくないため、常に100%になるとは限らないためです正確な情報。あなたが話していることは「パッシブ脆弱性スキャン」にいくらか似ているので、このプロセスで収集するデータの他の非常に貴重な使用法を見つけることができ、組織を離れるすべての通信のマッピングに非常に効果的ですが、いくつかあります制限。
一言で言えば、人々はそれを「パッシブネットワークマッピング」や「パッシブネットワークディスカバリ」(どちらもあなたが言及したことの素晴らしい名前です)とは呼ばないと思います。データを取得すると、それを使用してもっと多くのことができるようになるからです。 「フルパケットキャプチャ」に戻るという意味で、より大きな意味でそれを参照する可能性が高くなります。これらはまったく同じではないことを知っています。あなたはそのデータの一部を収集し、それをマッピングに使用することについて話しているだけですが、それがあなたが言及した用語によってめったに呼び出されない理由だと思います(質問に答えてください)。
注:NetFlowデータは、マッピングに必要なデータを受動的に収集するための別のソースでもあり、これを行う方法は他にもたくさんあります(ネットワークに応じてカムテーブルも機能します)。ただし、非常に大規模なネットワークでは、NetFlowデータが少しコンパクトになるのに対し、フルパケットキャプチャはすぐに困難になります。
直接のLANを計画する場合、単純なARPスニファ(おそらくPython scapyライブラリを使用して記述))で十分に機能します。ただし、ネットワークトポロジ全体、それを行う方法はありますが、状況は少し固有です。
ネットワークがCiscoルーターを利用し、それらのルーターが [〜#〜] ospf [〜#〜] を使用して動的にルーティングする場合、不正なルーターをネットワークに導入する可能性があります。このルーターは、それ自体をターゲットルーターへのネイバーとして確立し、独自のトポロジーを構築するまでLSPを交換します( ここを参照 )。ルーターがダーティな作業を行ったら、ルーティングテーブルを見て、基本的な論理トポロジを確認するだけです。この方法にはアクティブテクニックの共有があるため、純粋にパッシブな方法は、すべてのOSPFパケットをスニッフィングし、スニッフィングされた情報に基づいてトポロジモデルを構築することです。
このソリューションにはかなり具体的な要件がありますが、利用されるテクノロジーはかなり一般的であるため、多くの場所で実行可能でなければなりません。