Come mappare passivamente una rete con i dump di wireshark?

Alcune informazioni di background per il contesto: alcune organizzazioni salvano le acquisizioni di pacchetti completi per le loro reti di sicurezza o di produzione. Ci sono prodotti commerciali che fanno anche questo. La gente sicuramente fa quello di cui parli, ma non sempre per il motivo che hai menzionato, anche se questo è un buon vantaggio. Idealmente ciò che si desidera è un tocco ottico sui punti di controllo chiave (ingresso / uscita) sulla rete. Quindi configura tshark (il wirehark basato sul testo ha prestazioni leggermente migliori) per acquisire automaticamente i dati rilevanti che desideri e salvare le informazioni .PCAP da analizzare. Questo viene fatto spesso per trovare comunicazioni APT e malware ma ha un gran numero di altri usi.

Detto questo, penso che uno dei motivi per cui le persone non lo fanno come mezzo principale di scoperta della rete è semplicemente perché alcuni dispositivi possono raramente o mai comunicare attraverso il punto di ingresso / uscita in modo che non risulti sempre con informazioni accurate al 100%. Quello di cui stai parlando è in qualche modo simile a "Passive Vulnerability Scanning", quindi potresti trovare altri utilizzi molto preziosi per i dati raccolti in questo processo e sarebbe molto efficace nel mappare tutte le comunicazioni che lasciano un'organizzazione ma ne ha alcune limitazioni.

In poche parole penso che la gente non la chiami "passive network mapping" e "passive network discovery" (entrambi sono dei grandi nomi per quello che hai citato) perché una volta che hai preso quei dati ti rendi conto che puoi fare così tanto più con esso che è più probabile che ci si riferisca ad esso nel senso più ampio di ciò che è tornato a "Full packet capture". So che questi non sono esattamente gli stessi, stai solo raccogliendo alcuni di quei dati e li utilizzi per la mappatura, ma penso che sia per questo che raramente viene chiamato dai termini che hai citato (rispondi alla tua domanda).

Nota: i dati NetFlow sarebbero anche un'altra fonte per raccogliere passivamente i dati necessari per la mappatura e ci sono molti altri modi per farlo (le tabelle delle camme switch funzionano anche a seconda della rete). Tuttavia su reti molto grandi l'acquisizione di pacchetti completi diventa difficile rapidamente mentre i dati di NetFlow sono un po 'più compatti.

Se stai cercando di mappare la tua LAN immediata, un semplice sniffer ARP (probabilmente scritto in Python con la libreria scapy), funzionerebbe perfettamente. Ma, se stai cercando di trovare l'intera topologia della rete, c'è un modo per farlo, ma le circostanze sono un po 'specifiche.

Se la rete utilizza router Cisco e questi router si spostano dinamicamente usando OSPF , allora potresti introdurre un router canaglia il network. Questo router si stabilirà come un vicino al router di destinazione e scambierà gli LSP con esso fino a quando non avrà costruito la propria topologia ( Vedi qui ). Una volta che il router ha fatto il suo lavoro sporco, devi solo dare un'occhiata alla tabella di routing per vedere la tua topologia logica di base. Questo metodo ha la sua parte di tecniche attive, quindi il modo puramente passivo sarebbe quello di sniffare tutti i pacchetti OSPF e creare un modello di topologia basato sulle informazioni sniffate.

Questa soluzione ha requisiti piuttosto specifici, ma le tecnologie sfruttate sono abbastanza comuni, quindi dovrebbe essere valida in molti posti.