Wireshark como un escáner de red [cerrado]

El proceso del que habla es una forma de escaneo pasivo. Francamente, ni siquiera necesita que Wireshark haga exactamente lo que quiere y sin una base de datos: solo necesita administrar los pcaps.

Hay toneladas de herramientas que pueden consultar datos de pcaps, Wireshark es solo una de ellas.

Si desea utilizar Wireshark, en la sección "Análisis" y "Estadísticas" de Wireshark, hay un resumen de los hosts e incluso los puertos que se utilizan. Por lo que puedo decir, eso es lo que está buscando.

Existen herramientas comerciales que hacen esto. No escuchan en las máquinas en sí mismas, pero usted toma un espejo de sus puertos de red y, básicamente, introduce todo el tráfico de la red por unos cuantos troncales en la caja. El cuadro realiza un análisis en tiempo real.

Hay un proyecto de código abierto llamado ntop-ng que puede hacer esto (tengo utilizado esto en proyectos de descubrimiento de red anteriores).

Hay un producto patentado llamado Extrahop que puede hacer esto (divulgación completa, somos un cliente suyo).

Ambos requieren acceso administrativo a la red que desea inspeccionar. El punto de nmap (y productos similares como nexpose ) es realizar un escaneo activo.

Si eres una persona hostil, y tienes acceso para configurar algo como ntop-ng o extrahop, entonces ya tienes el poder más que suficiente para básicamente obtener lo que quieras de todos modos.

La idea de nmap es encontrar esta información externamente . Ambos pueden lograr cosas similares, pero las hacen de maneras opuestas.

Y luego tienes un IDS como snort que básicamente observa en tu red estos patrones que notaste en Wireshark y te avisa cuando los ve.