Eavesarp:基于ARP请求分析的内部通信主机和过期网络地址配置的识别工具

栏目: IT技术 · 发布时间: 4年前

内容简介:Eavesarp是一款基于ARP请求分析的内部通信主机和过期网络地址配置的识别工具,它本质上一个网络侦察工具,它可以通过分析ARP请求来识别可能跟其他设备通信的主机,这种功能在LLMNR/NBN无法用于域名解析的情况下非常实用。广大研究人员可以使用下列命令将项目源码克隆至本地:当前版本的Eavesarp仅支持在Kali或其他基于Debian的Linux发行版操作系统上运行。

Eavesarp是一款基于ARP请求分析的内部通信主机和过期网络地址配置的识别工具,它本质上一个网络侦察工具,它可以通过分析ARP请求来识别可能跟其他设备通信的主机,这种功能在LLMNR/NBN无法用于域名解析的情况下非常实用。

工具下载

广大研究人员可以使用下列命令将项目源码克隆至本地:

git clone https://github.com/arch4ngel/eavesarp.git

工具要求

当前版本的Eavesarp仅支持在Kali或其他基于Debian的 Linux 发行版操作系统上运行。

工具 要求 Python 3.7环境和Scapy项目,安装好Python之后,可以运行下列命令来安装Scapy:

python3.7 -m pip install -r requirements.txt

工具使用

捕捉ARP请求

注意事项:

1、Eavesarp要求使用root权限来从网络接口嗅探ARP数据包;
2、捕捉到的数据将自动输出并写入到本地磁盘中,导出文件名为eavesarp.db;

被动执行

Eavesarp工具最基础的使用/执行方法如下:

sudo ./eavesarp.py capture -i eth1

该命令将会对Eavesarp进行初始化,并执行APR请求的捕捉、分析,然后将最终的处理结果输出给用户,最后将所有内容存储进数据库表中。我们可以使用–help命令来查看该工具的其他帮助选项以及非常规参数。需要注意的是,在此模式下运行时,如果尚未观察到来自目标的ARP请求时,stale列表示[UNCONFIRMED]。通过 -ar 参数启用APR解析后,可以判断给定的目标地址是否已过期。 

 ___ ___ __  _____ ___ ___ ________

/ -_) _ `/ |/ / -_|_-</ _ `/ __/ _ \

\__/\_,_/|___/\__/___/\_,_/_/ / .__/

-----------------------------/ /---

[LISTEN CAREFULLY]          /_/

 

Capture interface: eth1

ARP resolution:    disabled

DNS resolution:    disabled

Requests analyzed: 65

 

SNAC    Sender         Target            ARP#  Stale

------  -------------  --------------  ------  -------------

        192.168.86.5   192.168.86.101      29  [UNCONFIRMED]

                       192.168.86.3         1

        192.168.86.3   192.168.86.37       25  [UNCONFIRMED]

                       192.168.86.38        7  [UNCONFIRMED]

                       192.168.86.5         1

                       192.168.86.99        1

        192.168.86.99  192.168.86.3         1

主动执行(ARP解析、DNS解析)

我们可以使用 -ar-dr 这两个参数选项来启用ARP和DNS解析。请注意,这两个命令参数将会让工具以非被动模式执行,但优势就在于此时工具将返回DNS记录、MAC地址和以确定的SNAC状态。 

sudo ./eavesarp.py capture -i eth1 -ar -dr --blacklist 192.168.86.5

我们可以从下面的输出中清楚地看到有哪些发送方受到一个或多个SNAC以及地址的影响。最后一列数据表明是否存在潜在的中间人攻击威胁。Eavesarp可以检查给定发送方的PTR解析的FWD地址是否不同,如果不同,工具将会显示一个标识符来标记目标转移到了新的FWD地址。

 ___ ___ __  _____ ___ ___ ________

/ -_) _ `/ |/ / -_|_-</ _ `/ __/ _ \

\__/\_,_/|___/\__/___/\_,_/_/ / .__/

-----------------------------/ /---

[LISTEN CAREFULLY]          /_/

 

Capture interface: eth1

ARP resolution:    enabled

DNS resolution:    enabled

Requests analyzed: 55

 

SNAC    Sender         Target            ARP#  Stale    Sender PTR      Target PTR        MITM

------  -------------  --------------  ------  -------  --------------  ----------------  ---------------------------------------------

True    192.168.86.2   192.168.86.101      21  True     iron.aa.local.  syslog.aa.local.  T-IP:192.168.86.101 != PTR-FWD:192.168.86.102

True    192.168.86.3   192.168.86.38       17  True     crux.aa.local.

                       192.168.86.37       15  True

                       192.168.86.99        1                           w10.aa.local.

        192.168.86.99  192.168.86.3         1           w10.aa.local.   crux.aa.local.

分析PCAP文件和 SQLite 数据库(由Eavesarp生成)

Eavesarp可以对SQLite数据库和PCAP文件进行分析,工具将会把提取出的值输出至一个新的数据库文件中以供后续分析。你可以使用–help选项来查看更多帮助信息,下面给出的是基础使用方式:

sudo ./eavesarp.py analyze -sfs eavesarp.db  -cp disable --blacklist 192.168.86.5 --csv-output-file eavesarp_analysis.db 

SNAC    Sender         Target            ARP#  Stale    Sender PTR      Target PTR        MITM

------  -------------  --------------  ------  -------  --------------  ----------------  ---------------------------------------------

True    192.168.86.2   192.168.86.101      21  True     iron.aa.local.  syslog.aa.local.  T-IP:192.168.86.101 != PTR-FWD:192.168.86.102

True    192.168.86.3   192.168.86.38       17  True     crux.aa.local.

                       192.168.86.37       15  True

                       192.168.86.99        1                           w10.aa.local.

        192.168.86.99  192.168.86.3         1           w10.aa.local.   crux.aa.local.

- Writing csv output to eavesarp_analysis.db

输出的CSV格式文件如下所示:

arp_count,sender,sender_mac,target,target_mac,stale,sender_ptr,target_ptr,target_forward,mitm_op,snac

21,192.168.86.2,74:d4:35:1a:b5:fb,192.168.86.101,[STALE TARGET],True,iron.aa.local.,syslog.aa.local.,192.168.86.102,T-IP:192.168.86.101 != PTR-FWD:192.168.86.102,True

17,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.38,[STALE TARGET],True,crux.aa.local.,,,False,True

15,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.37,[STALE TARGET],True,crux.aa.local.,,,False,True

1,192.168.86.99,08:00:27:22:49:c5,192.168.86.3,b8:27:eb:a9:5c:8f,False,w10.aa.local.,crux.aa.local.,192.168.86.3,False,False

1,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.99,08:00:27:22:49:c5,False,crux.aa.local.,w10.aa.local.,192.168.86.99,False,True

项目地址

Eavesarp:【 GitHub传送门

*参考来源: arch4ngel ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
编码

编码

查尔斯•佩措尔德 (Charles Petzold) / 左飞、薛佟佟 / 电子工业出版社 / 2012-10-1 / 59.00元

编码:隐匿在计算机软硬件背后的语言,ISBN:9787121181184,作者:(美)佩措尔德(Petzold,C.)著 左飞,薛佟佟译一起来看看 《编码》 这本书的介绍吧!

码农工具
XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2024 码农网 粤ICP备17054400号-3