taibeihacker
Moderator
无形协议嗅探器,用于在网络中查找漏洞。专为penters和安全工程师而设计。
以上:隐形网络协议sniffer
专为五旬节和安全工程师设计
作者: Magama Bazarov,[电子邮件保护]
假名:施法者
版本: 2.6
CodEname:内向
It is a specialized network security tool that helps both pentesters and security professionals。
上面的
上面允许penters自动化在网络硬件中查找漏洞的过程。发现协议,动态路由,802.1q,ICS协议,FHRP,STP,LLMNR/NBT-NS等
MacSec(802.1x AE)
EAPOL(检查802.1x版本)
ARP(被动ARP,主机发现)
CDP(思科发现协议)
DTP(动态中继协议)
LLDP(链接层发现协议)
802.1q标签(VLAN)
S7COMM(西门子)
奥隆
TACACS+(终端访问控制器访问控制系统加上)
modbustcp
STP(跨越树协议)
OSPF(首先开放最短路径)
EIGRP(增强的内部网关路由协议)
BGP(边界网关协议)
VRRP(虚拟路由器冗余协议)
HSRP(主机待机冗余协议)
GLBP(网关负载平衡协议)
IGMP(互联网组管理协议)
llmnr(链接本地多播名称分辨率)
NBT-NS (NetBIOS Name Service)
MDN(多播DNS)
DHCP(动态主机配置协议)
DHCPV6(动态主机配置协议V6)
ICMPV6(Internet控制消息协议V6)
SSDP(简单服务发现协议)
MNDP(Mikrotik邻居发现协议)
热模式:在界面上嗅探指定计时器冷模式:分析流量转储该工具的操作非常简单,并且由参数驱动:
Interface: Specifying the network interface on which sniffing will be performed Timer: Time during which traffic analysis will be performed Input: The tool takes an already prepared .pcap as input and looks for protocols in it Output: Above will record the listened traffic to .pcap file, its name you specify yourself Passive ARP: Detecting hosts in a segment using Passive ARP usage:上面.py [-h] [ - 接口接口] [ - timer Timer] [ - 输出输出] [ - 输入输入] [ - passive-arp]
Options:
-h, - 赫尔普显示此帮助消息和退出
- 接口接口
流量聆听的接口
- 以几秒钟的时间计时器时间以捕获数据包,如果不设置捕获,则无限期运行
- 输出输出文件名,记录流量的位置
- 输入输入文件名称流量转储的名称
--passive-arp Passive ARP (Host Discovery)
上面检测协议时,它会输出必要的信息以指示攻击向量或安全性问题:
Impact:对该协议可以进行哪种攻击;
工具:可以使用哪种工具来启动攻击;
技术信息:所需的五个五旬节,发件人MAC/IP地址,FHRP组ID,OSPF/EIGRP域等的信息
缓解:解决安全问题的建议
源/目标地址:用于协议,以上显示有关源和目标MAC地址和IP地址的信息
caster@kali:〜 $ sudo apt更新sudo apt安装上方或.
caster@kali:〜 $ sudo apt-get install python3-scapy python3-colorama python3-stetuptools
Caster@kali:〜 $ git克隆https://github.com/casterbyte/above
Caster@kali:〜 $ cd上方/
caster@kali:〜/上方$ sudo python3 setup.py安装
酿造安装python3
#然后安装所需的依赖项
sudo pip3安装scapy colorama setuptools
#克隆仓库
git克隆https://github.com/casterbyte/above
CD上方/
sudo python3设置。py安装不要忘记在MacOS上的防火墙deactivate!
以上可以在有或没有timer:的情况下运行
caster@kali:〜 $ sudo上方- 接口eth0 -timer 120停止流量嗅探,按CTRL +寻
警告!上面的设计并非用于使用隧道界面(L3),因为将过滤器用于L2协议。隧道L3接口上的工具可能无法正常工作。
示例:
Caster@kali:〜 $ sudo上方- 接口eth0 -timer 120
-----------------------------------------------------------------------------------------------------------------------------------------------------------
[+]开始嗅.
[*]检测到协议后- 将显示有关其的所有必要信息
-----------------------------------------------------------------------------
[+]检测到的SSDP数据包
[*]攻击影响: UPNP设备开发的潜力
[*]工具: Evil-SSDP
[*] SSDP源IP: 192.168.0.251
[*] SSDP源MAC: 02:10
E3:6064:F233:34
[*]缓解措施:确保在所有设备上禁用UPNP,除非绝对必要,请监视UPNP流量
-----------------------------------------------------------------------------
[+]检测到的MDNS包
[*]攻击影响: MDNS欺骗,凭证拦截
[*]工具:响应者
[*] MDNS欺骗专门针对Windows机器的作品
[*]您无法从Apple设备获得NetNTLMV2-SSP
[*] MDNS发言人IP: FE80:3360183F3:301C3:27BD3:543
[*] MDNS演讲者MAC: 02:10E333333333333:F233:34
[*]缓解:过滤MDNS流量。小心MDN过滤
-------------------------------------------------- If you need to record the sniffed traffic, use the --output argument
caster@kali:〜 $ sudo上方- 接口eth0 -timer 120-上方。
caster@kali:〜 $上方- 输入ospf-md5.cap emamexemend:
Caster@kali:〜 $ sudo上方- 输入OSPF-MD5.CAP
[+]分析PCAP文件.
-----------------------------------------------------------------------------
[+]检测到的OSPF数据包
[+]攻击影响:子网发现,黑洞,邪恶的双胞胎
[*]工具: Loki,Scapy,frofrouting
[*] OSPF区域ID: 0.0.0.0
[*] OSPF邻居IP: 10.0.0.1
[*] OSPF邻居MAC: 00:0C:29333333333:4C3:54
[!] authentication: MD5
[*] Bruteforce: Ettercap的工具,开膛手约翰
[*] OSPF密钥ID: 1
[*]缓解:启用被动界面,使用身份验证
-----------------------------------------------------------------------------
[+]检测到的OSPF数据包
[+]攻击影响:子网发现,黑洞,邪恶的双胞胎
[*]工具: Loki,Scapy,frofrouting
[*] OSPF区域ID: 0.0.0.0
[*] OSPF邻居IP: 192.168.0.2
[*] OSPF邻居MAC: 00:0C:2933333333333333333333333:FB
[!] authentication: MD5
[*] Bruteforce: Ettercap的工具,开膛手约翰
[*] OSPF密钥ID: 1
[*] Mitigation: Enable passive interfaces, use authentication
caster@kali:〜 $ sudo上方- 接口eth0 -passive-arp -timer 10
[+]使用被动ARP的主机发现
-----------------------------------------------------------------------------
[+]检测到的ARP回复
[*] ARP回复IP: 192.168.1.88
[*] MAC地址: 00:00:0C33:073:AC:C8
-----------------------------------------------------------------------------
[+]检测到的ARP回复
[*] ARP回复IP: 192.168.1.40
[*] MAC地址: 00:0C3:293:C5333333333333:81
--------------------------------------------------
以上:隐形网络协议sniffer
专为五旬节和安全工程师设计
作者: Magama Bazarov,[电子邮件保护]
假名:施法者
版本: 2.6
CodEname:内向
Disclaimer
All information contained in this repository is provided for educational and research purposes only. The author is not responsible for any illegal use of this tool。It is a specialized network security tool that helps both pentesters and security professionals。
上面的
Mechanics
是一个无形的网络嗅探器,用于在网络设备中找到漏洞。它完全基于网络流量分析,因此不会在空中发出任何噪音。他是看不见的。完全基于Scapy库。上面允许penters自动化在网络硬件中查找漏洞的过程。发现协议,动态路由,802.1q,ICS协议,FHRP,STP,LLMNR/NBT-NS等
Supported protocols
最多检测27个协议:MacSec(802.1x AE)
EAPOL(检查802.1x版本)
ARP(被动ARP,主机发现)
CDP(思科发现协议)
DTP(动态中继协议)
LLDP(链接层发现协议)
802.1q标签(VLAN)
S7COMM(西门子)
奥隆
TACACS+(终端访问控制器访问控制系统加上)
modbustcp
STP(跨越树协议)
OSPF(首先开放最短路径)
EIGRP(增强的内部网关路由协议)
BGP(边界网关协议)
VRRP(虚拟路由器冗余协议)
HSRP(主机待机冗余协议)
GLBP(网关负载平衡协议)
IGMP(互联网组管理协议)
llmnr(链接本地多播名称分辨率)
NBT-NS (NetBIOS Name Service)
MDN(多播DNS)
DHCP(动态主机配置协议)
DHCPV6(动态主机配置协议V6)
ICMPV6(Internet控制消息协议V6)
SSDP(简单服务发现协议)
MNDP(Mikrotik邻居发现协议)
Operating Mechanism
在两种模式:中工作热模式:在界面上嗅探指定计时器冷模式:分析流量转储该工具的操作非常简单,并且由参数驱动:
Interface: Specifying the network interface on which sniffing will be performed Timer: Time during which traffic analysis will be performed Input: The tool takes an already prepared .pcap as input and looks for protocols in it Output: Above will record the listened traffic to .pcap file, its name you specify yourself Passive ARP: Detecting hosts in a segment using Passive ARP usage:上面.py [-h] [ - 接口接口] [ - timer Timer] [ - 输出输出] [ - 输入输入] [ - passive-arp]
Options:
-h, - 赫尔普显示此帮助消息和退出
- 接口接口
流量聆听的接口
- 以几秒钟的时间计时器时间以捕获数据包,如果不设置捕获,则无限期运行
- 输出输出文件名,记录流量的位置
- 输入输入文件名称流量转储的名称
--passive-arp Passive ARP (Host Discovery)
Information about protocols
The information obtained will be useful not only to the pentester, but also to the security engineer, he will know what he needs to pay attention to.上面检测协议时,它会输出必要的信息以指示攻击向量或安全性问题:
Impact:对该协议可以进行哪种攻击;
工具:可以使用哪种工具来启动攻击;
技术信息:所需的五个五旬节,发件人MAC/IP地址,FHRP组ID,OSPF/EIGRP域等的信息
缓解:解决安全问题的建议
源/目标地址:用于协议,以上显示有关源和目标MAC地址和IP地址的信息
Installation
Linux
您可以直接从Kali Linux存储库中安装caster@kali:〜 $ sudo apt更新sudo apt安装上方或.
caster@kali:〜 $ sudo apt-get install python3-scapy python3-colorama python3-stetuptools
Caster@kali:〜 $ git克隆https://github.com/casterbyte/above
Caster@kali:〜 $ cd上方/
caster@kali:〜/上方$ sudo python3 setup.py安装
macOS:
#安装python3首先酿造安装python3
#然后安装所需的依赖项
sudo pip3安装scapy colorama setuptools
#克隆仓库
git克隆https://github.com/casterbyte/above
CD上方/
sudo python3设置。py安装不要忘记在MacOS上的防火墙deactivate!
Settings Network Firewall
How to Use
Hot mode
需要嗅探根访问以上可以在有或没有timer:的情况下运行
caster@kali:〜 $ sudo上方- 接口eth0 -timer 120停止流量嗅探,按CTRL +寻
警告!上面的设计并非用于使用隧道界面(L3),因为将过滤器用于L2协议。隧道L3接口上的工具可能无法正常工作。
示例:
Caster@kali:〜 $ sudo上方- 接口eth0 -timer 120
-----------------------------------------------------------------------------------------------------------------------------------------------------------
[+]开始嗅.
[*]检测到协议后- 将显示有关其的所有必要信息
-----------------------------------------------------------------------------
[+]检测到的SSDP数据包
[*]攻击影响: UPNP设备开发的潜力
[*]工具: Evil-SSDP
[*] SSDP源IP: 192.168.0.251
[*] SSDP源MAC: 02:10
E3:6064:F233:34[*]缓解措施:确保在所有设备上禁用UPNP,除非绝对必要,请监视UPNP流量
-----------------------------------------------------------------------------
[+]检测到的MDNS包
[*]攻击影响: MDNS欺骗,凭证拦截
[*]工具:响应者
[*] MDNS欺骗专门针对Windows机器的作品
[*]您无法从Apple设备获得NetNTLMV2-SSP
[*] MDNS发言人IP: FE80:3360183F3:301C3:27BD3:543
[*] MDNS演讲者MAC: 02:10
E333333333333:F233:34[*]缓解:过滤MDNS流量。小心MDN过滤
-------------------------------------------------- If you need to record the sniffed traffic, use the --output argument
caster@kali:〜 $ sudo上方- 接口eth0 -timer 120-上方。
Cold mode
如果您已经有一些记录的流量,则可以使用- 输入参数来寻找潜在的安全问题caster@kali:〜 $上方- 输入ospf-md5.cap emamexemend:
Caster@kali:〜 $ sudo上方- 输入OSPF-MD5.CAP
[+]分析PCAP文件.
-----------------------------------------------------------------------------
[+]检测到的OSPF数据包
[+]攻击影响:子网发现,黑洞,邪恶的双胞胎
[*]工具: Loki,Scapy,frofrouting
[*] OSPF区域ID: 0.0.0.0
[*] OSPF邻居IP: 10.0.0.1
[*] OSPF邻居MAC: 00:0C:29333333333:4C3:54
[!] authentication: MD5
[*] Bruteforce: Ettercap的工具,开膛手约翰
[*] OSPF密钥ID: 1
[*]缓解:启用被动界面,使用身份验证
-----------------------------------------------------------------------------
[+]检测到的OSPF数据包
[+]攻击影响:子网发现,黑洞,邪恶的双胞胎
[*]工具: Loki,Scapy,frofrouting
[*] OSPF区域ID: 0.0.0.0
[*] OSPF邻居IP: 192.168.0.2
[*] OSPF邻居MAC: 00:0C:2933333333333333333333333:FB
[!] authentication: MD5
[*] Bruteforce: Ettercap的工具,开膛手约翰
[*] OSPF密钥ID: 1
[*] Mitigation: Enable passive interfaces, use authentication
Passive ARP
The tool can detect hosts without noise in the air by processing ARP frames in passive modecaster@kali:〜 $ sudo上方- 接口eth0 -passive-arp -timer 10
[+]使用被动ARP的主机发现
-----------------------------------------------------------------------------
[+]检测到的ARP回复
[*] ARP回复IP: 192.168.1.88
[*] MAC地址: 00:00:0C33:073:AC:C8
-----------------------------------------------------------------------------
[+]检测到的ARP回复
[*] ARP回复IP: 192.168.1.40
[*] MAC地址: 00:0C3:293:C5333333333333:81
--------------------------------------------------