ネットワークスキャナーとしてのWireshark
私は最近nmapで遊んでいて、arp-pingスキャンを試したり、アイドルホストを使用したりしています...
Wiresharkを見ると、スキャンを実行しているときに常に疑わしいアクティビティがいくつかあります。問題は、使用するアイドルホストを見つけるためにスキャンする必要があり、使用するスキャンのタイプが100%サイレントになることは決してないということです。ターゲットマシンには常に疑わしいトラフィックやログがあります。
だから私はこの考えを持っていました:なぜWiresharkをスキャナーとして使わないのですか?マシンをアクティブにスキャンする代わりに、Wiresharkまたは同様のスニッフィングプログラムを起動して、マシンがネットワーク内で相互にどのように相互作用し、データがデータベースに格納されているかを監視できます。
私の質問は、すでにそれを行うプログラムまたはWiresharkモード/モジュール/などはありますか?
あなたが話しているプロセスは、パッシブスキャンの一種です。率直に言って、Wiresharkがデータベースを使用せずに必要なことを正確に実行する必要さえありません。pcapを管理する必要があるだけです。
Pcapsにデータを照会できるツールはたくさんありますが、Wiresharkはその1つにすぎません。
Wiresharkを使用する場合は、Wiresharkの[分析]および[統計]の部分に、使用されているホストとポートの概要が表示されます。私が知る限り、それがあなたが探しているものです。
これを行う商用ツールが存在します。それらはマシン自体をリッスンしませんが、ネットワークポートのミラーを取り、基本的にネットワークトラフィック全体をいくつかのトランクからボックスに詰めます。次に、ボックスはリアルタイム分析を実行します。
これを行うことができる ntop-ng と呼ばれるオープンソースプロジェクトがあります(以前のネットワーク探索プロジェクトでこれを使用しました)。
これを行うことができる Extrahop と呼ばれる独自の製品があります(完全な開示、私たちは彼らの顧客です)。
これらはどちらも、検査するネットワークへの管理アクセスが必要です。 nmap(および nexpose などの類似製品)のポイントは、アクティブスキャンを実行することです。
あなたが敵対的な人であり、ntop-ngやextrahopのようなものをセットアップするアクセス権がある場合は、基本的にとにかく欲しいものを何でも手に入れるのに十分以上の力がすでにあります。
Nmapのアイデアは、この情報を見つけることです外部。彼らは両方とも同じようなことを達成するかもしれませんが、彼らは反対の方法でそれらを行います。
そして、あなたは snort のようなIDSを持っています。これは基本的に、Wiresharkで気づいたこれらのパターンについてネットワークを監視し、それらを見つけたときにアラートを出します。