Wireshark come scanner di rete [chiuso]

1

Recentemente sto giocando con nmap, provando la scansione arp-ping e usando host inattivi, ecc ...

Guardando Wireshark, c'è sempre qualche attività sospetta quando si eseguono scansioni. Il fatto è che devo eseguire la scansione per trovare gli host inutilizzati da utilizzare e qualsiasi tipo di scansione che utilizzo non è mai al 100% silenzioso. C'è sempre traffico e / o log sospetti nei computer di destinazione.

Quindi ho avuto questa idea: perché non usare Wireshark come scanner? Invece di analizzare attivamente le macchine, potrei semplicemente avviare Wireshark o un programma di sniffing simile e osservare come le macchine interagiscono l'una con l'altra nella rete con i dati memorizzati in un database.

La mia domanda è, c'è qualche programma o modalità / modulo / etc di Wireshark che già lo fa?

    
posta Kali tests 17.04.2016 - 01:24
fonte

2 risposte

1

Il processo di cui stai parlando è una forma di scansione passiva. Francamente, non hai nemmeno bisogno che Wireshark faccia esattamente quello che vuoi e senza un database: devi solo gestire i pcaps.

Ci sono tonnellate di strumenti che possono interrogare i pcap per i dati, Wireshark è solo uno di questi.

Se si desidera utilizzare Wireshark, nella sezione "Analisi" e "Statistiche" di Wireshark, è disponibile un riepilogo degli host e anche delle porte utilizzate. Per quello che posso dire, è quello che stai cercando.

    
risposta data 17.04.2016 - 06:16
fonte
0

Esistono strumenti commerciali che lo fanno. Non ascoltano le macchine da soli, ma si fa uno specchio delle porte di rete e in pratica si riempie l'intero traffico di rete di alcuni tronchi nella scatola. Il riquadro esegue quindi analisi in tempo reale.

C'è un progetto open-source chiamato ntop-ng che può fare questo (ho usato questo su precedenti progetti di scoperta della rete).

Esiste un prodotto proprietario chiamato Extrahop che può fare ciò (divulgazione completa, siamo un cliente di loro).

Entrambi richiedono l'accesso amministrativo alla rete che si desidera ispezionare. Il punto di nmap (e prodotti simili come nexpose ) consiste nell'eseguire la scansione attiva.

Se sei una persona ostile, e hai l'accesso per impostare qualcosa come ntop-ng o extrahop, allora hai già abbastanza potere per ottenere comunque quello che vuoi comunque.

L'idea di nmap è di scoprire queste informazioni esternamente . Potrebbero entrambi ottenere cose simili, ma lo fanno in modi opposti.

E poi hai un ID come snort che fondamentalmente guarda la tua rete per questi pattern che hai notato in Wireshark e ti avvisa quando li vede.

    
risposta data 17.04.2016 - 03:23
fonte

Leggi altre domande sui tag