¿Cómo mapear una red pasivamente con los volcados de wirehark?

Alguna información de contexto para el contexto: algunas organizaciones guardan capturas de paquetes completos para sus redes de alta seguridad o de producción. Hay productos comerciales que hacen esto también. La gente definitivamente hace lo que estás diciendo pero no siempre por la razón que mencionas, aunque es un buen beneficio colateral. Idealmente, lo que desea es un toque óptico en los puntos de control clave (ingreso / egreso) de su red. Luego, configure tshark (Wirehark basado en texto tiene un rendimiento ligeramente mejor) para capturar automáticamente los datos relevantes que desee y guardar la información .PCAP para que la analice. Esto se hace con frecuencia para encontrar comunicaciones APT y malware, pero tiene una gran cantidad de otros usos.

Dicho esto, creo que una de las razones por las que las personas no hacen esto como medio principal de descubrimiento de redes es simplemente porque algunos dispositivos pueden comunicarse raramente, o nunca, a través del punto de ingreso / egreso, por lo que no siempre resultará En información 100% precisa. De lo que está hablando es algo similar a la "Exploración de vulnerabilidad pasiva", por lo que puede encontrar otros usos muy valiosos para los datos que recopila en este proceso y sería muy eficaz para mapear todas las comunicaciones que salen de una organización, pero tiene algunas. limitaciones.

En pocas palabras, creo que la gente no lo llama "mapeo de red pasivo" y "descubrimiento de red pasivo" (ambos son nombres geniales para lo que mencionaste) porque una vez que obtengas los datos, te darás cuenta de que puedes hacer mucho. más con él es más probable que se refiera a él en el sentido más amplio de lo que es lo que vuelve a la "Captura de paquete completa". Sé que estos no son exactamente lo mismo, usted está hablando de simplemente recopilar algunos de esos datos y usarlos para mapear, pero creo que es por eso que rara vez se menciona en los términos que mencionó (responda a su pregunta).

Nota: los datos de NetFlow también serían otra fuente para recopilar pasivamente los datos necesarios para el mapeo y hay muchas otras formas de hacerlo (las tablas de cámaras de conmutación también funcionan según la red). Sin embargo, en redes muy grandes, la captura de paquetes completos se vuelve un desafío rápidamente, mientras que los datos de NetFlow son un poco más compactos.

Si está buscando mapear su LAN inmediata, un simple rastreador ARP (probablemente escrito en Python con la biblioteca de Scapy), funcionaría bien. Pero, si está buscando encontrar la topología de la red completa, hay una manera de hacerlo, pero las circunstancias son un poco específicas.

Si la red utiliza enrutadores Cisco, y esos enrutadores se enrutan dinámicamente usando OSPF , entonces puede introducir un enrutador de rogue para la red Este enrutador se establecería como vecino del enrutador de destino e intercambiaría los LSP con él hasta que haya construido su propia topología ( Consulte aquí ). Una vez que el enrutador ha hecho su trabajo sucio, solo tiene que echar un vistazo a la tabla de enrutamiento para ver su topología lógica básica. Este método tiene su parte de técnicas activas, por lo que la forma puramente pasiva sería rastrear todos los paquetes OSPF y construir un modelo de topología basado en la información detectada.

Esta solución tiene requisitos bastante específicos, pero las tecnologías explotadas son bastante comunes, por lo que debería ser viable en muchos lugares.