Above是一款专为红队研究人员设计的网络协议嗅探工具,该工具隐蔽型极强,可以帮助广大研究人员搜索目标网络中的相关安全漏洞。
Above可以帮助渗透测试人员和安全专家搜索目标网络设备中的安全漏洞,该工具完全基于网络流量来执行安全分析,因此不会在网络系统中产生任何噪声。Above使用纯Python开发,基于Scapy库实现其功能。Above的主要任务是搜索目标网络内部的L2/L3协议,基于流量嗅探来识别和发现配置中存在的安全问题。
当前版本的Above支持检测下列12种网络协议:
1、CDP
2、DTP
3、Dot1Q
4、OSPF
5、EIGRP
6、VRRPv2
7、HSRPv1
8、STP
9、LLMNR
10、NBT-NS
11、MDNS
12、DHCPv6
需要注意的是,该工具实现了线程机制,因此所有的协议分析都可以同步进行。
Above支持下列两种运行模式:
1、热模式:定期对目标接口执行实时嗅探;
2、冷模式:离线分析之前转储的流量数据;
我们只需要给工具脚本指定运行参数,即可控制Above的任务执行:
Interface:指定需要嗅探的目标网络接口;
Timer:设置执行流量分析的时间间隔;
Output pcap:Above将会把监听到的流量数据记录到pcap文件中,文件名称支持自定义;
Input pcap:工具支持将准备好的.pcap文件作为输入参数,并对其执行安全审计分析;
Impact:可以针对该协议执行的攻击类型;
Tools:可以针对该协议执行攻击的工具;
Technical Information:攻击者所需要的相关信息,例如IP地址、FHRP组ID、OSPF/EIGRP域等;
由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
caster@kali:~$ git clone https://github.com/wearecaster/Above
然后切换到项目目录中,执行工具安装脚本即可:
caster@kali:~$ cd Above/ caster@kali:~/Above$ sudo python3 setup.py install
usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE] ? options: ??-h, --help ????????????????????显示工具帮助信息和退出 ??--interface INTERFACE?????????指定目标网络接口 ??--timer TIMER ????????????????指定一个时间间隔(秒) ??--output-pcap OUTPUT_FILE????指定记录流量的输出pcap文件路径 ??--input-pcap INPUT_FILE???????指定要分析流量的输入pcap文件路径
首先,我们需要先将接口切换为混杂模式,并使用root权限运行Above脚本:
caster@kali:~$ sudo ip link set eth0 promisc on
Above在启动时至少要指定一个目标接口和一个计时器:
caster@kali:~$ sudo above --interface eth0 --timer 120
如果你需要记录嗅探到的网络流量,请使用--output-pcap参数:
caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap
如果你已经存储了记录下的嗅探流量,你可以使用--input-pcap参数来寻找其中潜在的安全问题:
caster@kali:~$ above --input-pcap dump.pcap
本项目的开发与发布遵循Apache-2.0开源许可证协议。
Above:【GitHub传送门】