关于Above
Above是一款专为红队研究人员设计的网络协议嗅探工具,该工具隐蔽型极强,可以帮助广大研究人员搜索目标网络中的相关安全漏洞。
Above可以帮助渗透测试人员和安全专家搜索目标网络设备中的安全漏洞,该工具完全基于网络流量来执行安全分析,因此不会在网络系统中产生任何噪声。Above使用纯Python开发,基于Scapy库实现其功能。Above的主要任务是搜索目标网络内部的L2/L3协议,基于流量嗅探来识别和发现配置中存在的安全问题。
支持的协议
当前版本的Above支持检测下列12种网络协议:
1、CDP 2、DTP 3、Dot1Q 4、OSPF 5、EIGRP 6、VRRPv2 7、HSRPv1 8、STP 9、LLMNR 10、NBT-NS 11、MDNS 12、DHCPv6
需要注意的是,该工具实现了线程机制,因此所有的协议分析都可以同步进行。
运行机制
Above支持下列两种运行模式:
1、热模式:定期对目标接口执行实时嗅探; 2、冷模式:离线分析之前转储的流量数据;
我们只需要给工具脚本指定运行参数,即可控制Above的任务执行:
Interface:指定需要嗅探的目标网络接口; Timer:设置执行流量分析的时间间隔; Output pcap:Above将会把监听到的流量数据记录到pcap文件中,文件名称支持自定义; Input pcap:工具支持将准备好的.pcap文件作为输入参数,并对其执行安全审计分析;
支持收集的协议信息
Impact:可以针对该协议执行的攻击类型; Tools:可以针对该协议执行攻击的工具; Technical Information:攻击者所需要的相关信息,例如IP地址、FHRP组ID、OSPF/EIGRP域等;
工具安装
由于该工具基于纯Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制caster@kali:~$ git clone https://github.com/wearecaster/Above(右滑查看更多)
然后切换到项目目录中,执行工具安装脚本即可:
代码语言:javascript复制caster@kali:~$ cd Above/
caster@kali:~/Above$ sudo python3 setup.py install工具参数
代码语言:javascript复制usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE]
options:
-h, --help 显示工具帮助信息和退出
--interface INTERFACE 指定目标网络接口
--timer TIMER 指定一个时间间隔(秒)
--output-pcap OUTPUT_FILE 指定记录流量的输出pcap文件路径
--input-pcap INPUT_FILE 指定要分析流量的输入pcap文件路径(右滑查看更多)
工具使用
首先,我们需要先将接口切换为混杂模式,并使用root权限运行Above脚本:
代码语言:javascript复制caster@kali:~$ sudo ip link set eth0 promisc onAbove在启动时至少要指定一个目标接口和一个计时器:
代码语言:javascript复制caster@kali:~$ sudo above --interface eth0 --timer 120如果你需要记录嗅探到的网络流量,请使用--output-pcap参数:
代码语言:javascript复制caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap(右滑查看更多)
如果你已经存储了记录下的嗅探流量,你可以使用--input-pcap参数来寻找其中潜在的安全问题:
代码语言:javascript复制caster@kali:~$ above --input-pcap dump.pcap许可证协议
本项目的开发与发布遵循Apache-2.0开源许可证协议。
项目地址
