Above：一款專為紅隊設計的隱蔽型網絡協議嗅探工具

關于Above

Above是一款專為紅隊研究人員設計的網絡協議嗅探工具，該工具隱蔽型極強，可以幫助廣大研究人員搜索目標網絡中的相關安全漏洞。

Above可以幫助滲透測試人員和安全專家搜索目標網絡設備中的安全漏洞，該工具完全基于網絡流量來執行安全分析，因此不會在網絡系統中產生任何噪聲。Above使用純Python開發，基于Scapy庫實現其功能。Above的主要任務是搜索目標網絡內部的L2/L3協議，基于流量嗅探來識別和發現配置中存在的安全問題。

支持的協議

當前版本的Above支持檢測下列12種網絡協議：

1、CDP

2、DTP

3、Dot1Q

4、OSPF

5、EIGRP

6、VRRPv2

7、HSRPv1

8、STP

9、LLMNR

10、NBT-NS

11、MDNS

12、DHCPv6

需要注意的是，該工具實現了線程機制，因此所有的協議分析都可以同步進行。

運行機制

Above支持下列兩種運行模式：

1、熱模式：定期對目標接口執行實時嗅探；

2、冷模式：離線分析之前轉儲的流量數據；

我們只需要給工具腳本指定運行參數，即可控制Above的任務執行：

Interface：指定需要嗅探的目標網絡接口；

Timer：設置執行流量分析的時間間隔；

Output pcap：Above將會把監聽到的流量數據記錄到pcap文件中，文件名稱支持自定義；

Input pcap：工具支持將準備好的.pcap文件作為輸入參數，并對其執行安全審計分析；

支持收集的協議信息

Impact：可以針對該協議執行的攻擊類型；

Tools：可以針對該協議執行攻擊的工具；

Technical Information：攻擊者所需要的相關信息，例如IP地址、FHRP組ID、OSPF/EIGRP域等；

工具安裝

由于該工具基于純Python 3開發，因此我們首先需要在本地設備上安裝并配置好Python 3環境。接下來，廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地：

caster@kali:~$ git clone https://github.com/wearecaster/Above

然后切換到項目目錄中，執行工具安裝腳本即可：

caster@kali:~$ cd Above/

caster@kali:~/Above$ sudo python3 setup.py install

工具參數

usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE]

 

options:

  -h, --help                     顯示工具幫助信息和退出

  --interface INTERFACE         指定目標網絡接口

  --timer TIMER                 指定一個時間間隔（秒）

  --output-pcap OUTPUT_FILE    指定記錄流量的輸出pcap文件路徑

  --input-pcap INPUT_FILE       指定要分析流量的輸入pcap文件路徑

工具使用

首先，我們需要先將接口切換為混雜模式，并使用root權限運行Above腳本：

caster@kali:~$ sudo ip link set eth0 promisc on

Above在啟動時至少要指定一個目標接口和一個計時器：

caster@kali:~$ sudo above --interface eth0 --timer 120

如果你需要記錄嗅探到的網絡流量，請使用--output-pcap參數：

caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap

如果你已經存儲了記錄下的嗅探流量，你可以使用--input-pcap參數來尋找其中潛在的安全問題：

caster@kali:~$ above --input-pcap dump.pcap

工具使用演示

網絡流量嗅探

PCAP分析

許可證協議

本項目的開發與發布遵循Apache-2.0開源許可證協議。

項目地址

Above：【GitHub傳送門】

參考資料

https://pypi.org/project/auto-py-to-exe/?