无形协议嗅探器，用于在网络中查找漏洞。专为penters和安全工程师而设计。

以上:隐形网络协议sniffer

专为五旬节和安全工程师设计

作者: Magama Bazarov，[电子邮件保护]

假名:施法者

版本: 2.6

CodEname:内向

免责声明

此存储库中包含的所有信息仅用于教育和研究目的。作者对此工具的任何非法使用概不负责。

这是一种专门的网络安全工具，可帮助申请人和安全专业人员。

上面的

力学

是一个无形的网络嗅探器，用于在网络设备中找到漏洞。它完全基于网络流量分析，因此不会在空中发出任何噪音。他是看不见的。完全基于Scapy库。

上面允许penters自动化在网络硬件中查找漏洞的过程。发现协议，动态路由，802.1q，ICS协议，FHRP，STP，LLMNR/NBT-NS等

支持的协议

最多检测27个协议:

MacSec（802.1x AE）

EAPOL（检查802.1x版本）

ARP（被动ARP，主机发现）

CDP（思科发现协议）

DTP（动态中继协议）

LLDP（链接层发现协议）

802.1q标签（VLAN）

S7COMM（西门子）

奥隆

TACACS+（终端访问控制器访问控制系统加上）

modbustcp

STP（跨越树协议）

OSPF（首先开放最短路径）

EIGRP（增强的内部网关路由协议）

BGP（边界网关协议）

VRRP（虚拟路由器冗余协议）

HSRP（主机待机冗余协议）

GLBP（网关负载平衡协议）

IGMP（互联网组管理协议）

llmnr（链接本地多播名称分辨率）

NBT-NS（NetBios名称服务）

MDN（多播DNS）

DHCP（动态主机配置协议）

DHCPV6（动态主机配置协议V6）

ICMPV6（Internet控制消息协议V6）

SSDP（简单服务发现协议）

MNDP（Mikrotik邻居发现协议）

操作机构

在两种模式:中工作

热模式:在界面上嗅探指定计时器冷模式:分析流量转储该工具的操作非常简单，并且由参数驱动:

Interface: Specifying the network interface on which sniffing will be performed Timer: Time during which traffic analysis will be performed Input: The tool takes an already prepared .pcap as input and looks for protocols in it Output: Above will record the listened traffic to .pcap file, its name you specify yourself Passive ARP: Detecting hosts in a segment using Passive ARP usage:上面.py [-h] [ - 接口接口] [ - timer Timer] [ - 输出输出] [ - 输入输入] [ - passive-arp]

Options:

-h， - 赫尔普显示此帮助消息和退出

- 接口接口

流量聆听的接口

- 以几秒钟的时间计时器时间以捕获数据包，如果不设置捕获，则无限期运行

- 输出输出文件名，记录流量的位置

- 输入输入文件名称流量转储的名称

-Passive-Arp被动ARP（主机发现）

有关协议的信息

所获得的信息不仅对五个五个人都有用，而且对安全工程师，他还会知道他需要注意的是什么。

上面检测协议时，它会输出必要的信息以指示攻击向量或安全性问题:

Impact:对该协议可以进行哪种攻击；

工具:可以使用哪种工具来启动攻击；

技术信息:所需的五个五旬节，发件人MAC/IP地址，FHRP组ID，OSPF/EIGRP域等的信息

缓解:解决安全问题的建议

源/目标地址:用于协议，以上显示有关源和目标MAC地址和IP地址的信息

安装

Linux

您可以直接从Kali Linux存储库中安装

caster@kali:〜 $ sudo apt更新sudo apt安装上方或.

caster@kali:〜 $ sudo apt-get install python3-scapy python3-colorama python3-stetuptools

Caster@kali:〜 $ git克隆https://github.com/casterbyte/above

Caster@kali:〜 $ cd上方/

caster@kali:〜/上方$ sudo python3 setup.py安装

macOS：

＃安装python3首先

酿造安装python3

＃然后安装所需的依赖项

sudo pip3安装scapy colorama setuptools

＃克隆仓库

git克隆https://github.com/casterbyte/above

CD上方/

sudo python3设置。py安装不要忘记在MacOS上停用防火墙！

设置网络防火墙

如何使用

热模式

需要嗅探根访问

以上可以在有或没有timer:的情况下运行

caster@kali:〜 $ sudo上方- 接口eth0 -timer 120停止流量嗅探，按CTRL +寻

警告！上面的设计并非用于使用隧道界面（L3），因为将过滤器用于L2协议。隧道L3接口上的工具可能无法正常工作。

示例:

Caster@kali:〜 $ sudo上方- 接口eth0 -timer 120

-----------------------------------------------------------------------------------------------------------------------------------------------------------

[+]开始嗅.

[*]检测到协议后- 将显示有关其的所有必要信息

-----------------------------------------------------------------------------

[+]检测到的SSDP数据包

[*]攻击影响: UPNP设备开发的潜力

[*]工具: Evil-SSDP

[*] SSDP源IP: 192.168.0.251

[*] SSDP源MAC: 02:10:DE3:6064:F233:34

[*]缓解措施:确保在所有设备上禁用UPNP，除非绝对必要，请监视UPNP流量

-----------------------------------------------------------------------------

[+]检测到的MDNS包

[*]攻击影响: MDNS欺骗，凭证拦截

[*]工具:响应者

[*] MDNS欺骗专门针对Windows机器的作品

[*]您无法从Apple设备获得NetNTLMV2-SSP

[*] MDNS发言人IP: FE80:3360183F3:301C3:27BD3:543

[*] MDNS演讲者MAC: 02:10:DE333333333333:F233:34

[*]缓解:过滤MDNS流量。小心MDN过滤

--------------------------------------------------------------------------------如果您需要记录流量，请使用- 输出参数

caster@kali:〜 $ sudo上方- 接口eth0 -timer 120-上方。

冷模式

如果您已经有一些记录的流量，则可以使用- 输入参数来寻找潜在的安全问题

caster@kali:〜 $上方- 输入ospf-md5.cap emamexemend:

Caster@kali:〜 $ sudo上方- 输入OSPF-MD5.CAP

[+]分析PCAP文件.

-----------------------------------------------------------------------------

[+]检测到的OSPF数据包

[+]攻击影响:子网发现，黑洞，邪恶的双胞胎

[*]工具: Loki，Scapy，frofrouting

[*] OSPF区域ID: 0.0.0.0

[*] OSPF邻居IP: 10.0.0.1

[*] OSPF邻居MAC: 00:0C:29333333333:4C3:54

[！] authentication: MD5

[*] Bruteforce: Ettercap的工具，开膛手约翰

[*] OSPF密钥ID: 1

[*]缓解:启用被动界面，使用身份验证

-----------------------------------------------------------------------------

[+]检测到的OSPF数据包

[+]攻击影响:子网发现，黑洞，邪恶的双胞胎

[*]工具: Loki，Scapy，frofrouting

[*] OSPF区域ID: 0.0.0.0

[*] OSPF邻居IP: 192.168.0.2

[*] OSPF邻居MAC: 00:0C:2933333333333333333333333:FB

[！] authentication: MD5

[*] Bruteforce: Ettercap的工具，开膛手约翰

[*] OSPF密钥ID: 1

[*]缓解:启用被动界面，使用身份验证

被动arp

该工具可以通过在被动模式下处理ARP帧在空中检测主机

caster@kali:〜 $ sudo上方- 接口eth0 -passive-arp -timer 10

[+]使用被动ARP的主机发现

-----------------------------------------------------------------------------

[+]检测到的ARP回复

[*] ARP回复IP: 192.168.1.88

[*] MAC地址: 00:00:0C33:073:AC:C8

-----------------------------------------------------------------------------

[+]检测到的ARP回复

[*] ARP回复IP: 192.168.1.40

[*] MAC地址: 00:0C3:293:C5333333333333:81

---------------------------------------------------------------------------------------------------------------------------------------------------------------------》（

utro

）我写了此工具，因为Koan Sound的曲目“来自上方的视图（Remix）”。当我从事这个嗅探器时，这首歌对我来说是一切。