内容简介:Eavesarp是一款基于ARP请求分析的内部通信主机和过期网络地址配置的识别工具,它本质上一个网络侦察工具,它可以通过分析ARP请求来识别可能跟其他设备通信的主机,这种功能在LLMNR/NBN无法用于域名解析的情况下非常实用。广大研究人员可以使用下列命令将项目源码克隆至本地:当前版本的Eavesarp仅支持在Kali或其他基于Debian的Linux发行版操作系统上运行。
Eavesarp是一款基于ARP请求分析的内部通信主机和过期网络地址配置的识别工具,它本质上一个网络侦察工具,它可以通过分析ARP请求来识别可能跟其他设备通信的主机,这种功能在LLMNR/NBN无法用于域名解析的情况下非常实用。
工具下载
广大研究人员可以使用下列命令将项目源码克隆至本地:
git clone https://github.com/arch4ngel/eavesarp.git
工具要求
当前版本的Eavesarp仅支持在Kali或其他基于Debian的 Linux 发行版操作系统上运行。
该 工具 要求 Python 3.7环境和Scapy项目,安装好Python之后,可以运行下列命令来安装Scapy:
python3.7 -m pip install -r requirements.txt
工具使用
捕捉ARP请求
注意事项:
1、Eavesarp要求使用root权限来从网络接口嗅探ARP数据包; 2、捕捉到的数据将自动输出并写入到本地磁盘中,导出文件名为eavesarp.db;
被动执行
Eavesarp工具最基础的使用/执行方法如下:
sudo ./eavesarp.py capture -i eth1
该命令将会对Eavesarp进行初始化,并执行APR请求的捕捉、分析,然后将最终的处理结果输出给用户,最后将所有内容存储进数据库表中。我们可以使用–help命令来查看该工具的其他帮助选项以及非常规参数。需要注意的是,在此模式下运行时,如果尚未观察到来自目标的ARP请求时,stale列表示[UNCONFIRMED]。通过 -ar
参数启用APR解析后,可以判断给定的目标地址是否已过期。
___ ___ __ _____ ___ ___ ________ / -_) _ `/ |/ / -_|_-</ _ `/ __/ _ \ \__/\_,_/|___/\__/___/\_,_/_/ / .__/ -----------------------------/ /--- [LISTEN CAREFULLY] /_/ Capture interface: eth1 ARP resolution: disabled DNS resolution: disabled Requests analyzed: 65 SNAC Sender Target ARP# Stale ------ ------------- -------------- ------ ------------- 192.168.86.5 192.168.86.101 29 [UNCONFIRMED] 192.168.86.3 1 192.168.86.3 192.168.86.37 25 [UNCONFIRMED] 192.168.86.38 7 [UNCONFIRMED] 192.168.86.5 1 192.168.86.99 1 192.168.86.99 192.168.86.3 1
主动执行(ARP解析、DNS解析)
我们可以使用 -ar
和 -dr
这两个参数选项来启用ARP和DNS解析。请注意,这两个命令参数将会让工具以非被动模式执行,但优势就在于此时工具将返回DNS记录、MAC地址和以确定的SNAC状态。
sudo ./eavesarp.py capture -i eth1 -ar -dr --blacklist 192.168.86.5
我们可以从下面的输出中清楚地看到有哪些发送方受到一个或多个SNAC以及地址的影响。最后一列数据表明是否存在潜在的中间人攻击威胁。Eavesarp可以检查给定发送方的PTR解析的FWD地址是否不同,如果不同,工具将会显示一个标识符来标记目标转移到了新的FWD地址。
___ ___ __ _____ ___ ___ ________ / -_) _ `/ |/ / -_|_-</ _ `/ __/ _ \ \__/\_,_/|___/\__/___/\_,_/_/ / .__/ -----------------------------/ /--- [LISTEN CAREFULLY] /_/ Capture interface: eth1 ARP resolution: enabled DNS resolution: enabled Requests analyzed: 55 SNAC Sender Target ARP# Stale Sender PTR Target PTR MITM ------ ------------- -------------- ------ ------- -------------- ---------------- --------------------------------------------- True 192.168.86.2 192.168.86.101 21 True iron.aa.local. syslog.aa.local. T-IP:192.168.86.101 != PTR-FWD:192.168.86.102 True 192.168.86.3 192.168.86.38 17 True crux.aa.local. 192.168.86.37 15 True 192.168.86.99 1 w10.aa.local. 192.168.86.99 192.168.86.3 1 w10.aa.local. crux.aa.local.
分析PCAP文件和 SQLite 数据库(由Eavesarp生成)
Eavesarp可以对SQLite数据库和PCAP文件进行分析,工具将会把提取出的值输出至一个新的数据库文件中以供后续分析。你可以使用–help选项来查看更多帮助信息,下面给出的是基础使用方式:
sudo ./eavesarp.py analyze -sfs eavesarp.db -cp disable --blacklist 192.168.86.5 --csv-output-file eavesarp_analysis.db SNAC Sender Target ARP# Stale Sender PTR Target PTR MITM ------ ------------- -------------- ------ ------- -------------- ---------------- --------------------------------------------- True 192.168.86.2 192.168.86.101 21 True iron.aa.local. syslog.aa.local. T-IP:192.168.86.101 != PTR-FWD:192.168.86.102 True 192.168.86.3 192.168.86.38 17 True crux.aa.local. 192.168.86.37 15 True 192.168.86.99 1 w10.aa.local. 192.168.86.99 192.168.86.3 1 w10.aa.local. crux.aa.local. - Writing csv output to eavesarp_analysis.db
输出的CSV格式文件如下所示:
arp_count,sender,sender_mac,target,target_mac,stale,sender_ptr,target_ptr,target_forward,mitm_op,snac 21,192.168.86.2,74:d4:35:1a:b5:fb,192.168.86.101,[STALE TARGET],True,iron.aa.local.,syslog.aa.local.,192.168.86.102,T-IP:192.168.86.101 != PTR-FWD:192.168.86.102,True 17,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.38,[STALE TARGET],True,crux.aa.local.,,,False,True 15,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.37,[STALE TARGET],True,crux.aa.local.,,,False,True 1,192.168.86.99,08:00:27:22:49:c5,192.168.86.3,b8:27:eb:a9:5c:8f,False,w10.aa.local.,crux.aa.local.,192.168.86.3,False,False 1,192.168.86.3,b8:27:eb:a9:5c:8f,192.168.86.99,08:00:27:22:49:c5,False,crux.aa.local.,w10.aa.local.,192.168.86.99,False,True
项目地址
Eavesarp:【 GitHub传送门 】
*参考来源: arch4ngel ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 网络安全自学篇(二十二)| 基于机器学习的恶意请求识别及安全领域中的机器学习
- 详解nginx的请求限制(连接限制和请求限制)
- angular请求防抖,以及处理第一次请求失效
- RxHttp 一条链发送请求,新一代Http请求神器(一)
- RxHttp 一条链发送请求,新一代Http请求神器(一)
- 利用Jsonp跨域请求数据(原生和Jquery的ajax请求),简单易懂!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。