NetworkAssessment是一款功能强大的网络安全威胁评估与审计工具,该工具旨在帮助广大研究人员分析pcap文件并检测目标网络中潜在的可疑网络流量。在该工具的帮助下,网络安全审计人员可疑更加轻松地扫描和发现网络流量中的异常活动,并搜索可疑关键词。
1、DNS隧道检测:通过DNS识别潜在的隐蔽通信信道;
2、SSH隧道检测:发现SSH会话的痕迹,SSH隧道可能会被用来绕过网络限制或掩盖恶意活动;
3、TCP会话劫持识别:监控可疑的TCP会话,这类会话很可能意味着未经授权的接管活动;
4、识别各种类型的攻击特征:识别SYN洪泛、UDP洪泛、Slowloris、SMB攻击等;
5、可疑关键字搜索:主动扫描网络流量,查找可能表明恶意或敏感数据泄露的用户定义关键字;
6、支持特定于协议的扫描:允许用户指定要监控的协议,确保集中和高效的分析;
7、输出日志记录:支持将详细分析结果存储到文件中以供进一步的分析和研究;
8、IPv6分片攻击检测:识别利用IPv6分片机制进行恶意活动的潜在行为;
9、用户友好的接口界面:彩色编码的输出和进度指示器增强了数据可读性和用户体验度;
该工具不仅限于上述功能,在社区广大研究人员的贡献下,其检测能力可以不断发展并适应最新的威胁形势。
python 3.x
scapy
argparse
pyshark
colorama
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/HalilDeniz/NetworkAssessment.git
然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:
cd NetworkAssessment
pip install -r requirements.txt
python3 networkassessment.py [-h] -f FILE [-p {TCP,UDP,DNS,HTTP,SMTP,SMB} [{TCP,UDP,DNS,HTTP,SMTP,SMB} ...]]
[-o OUTPUT] [-n NUMBER_PACKET]
-f, --file:需要分析的.pcap或.pcapng文件路径,这是一个必填参数,该工具要执行的安全评估主要基于该文件中的数据进行;
-p, --protocols:指定需要扫描的协议,支持同时指定多个协议,可选项包括"TCP"、"UDP"、"DNS"、"HTTP"、"SMTP"和"SMB";
-o, --output:存储扫描分析结果的输出文件路径,该参数是一个可选项,如果设置了该参数,扫描结果将会存储到指定的输出文件中;
-n, --number-packet:需要扫描指定文件中的数据包数量,,该参数是一个可选项,如果不设置,工具将会默认扫描整个目标文件中的所有数据包;
在上面的样例中,该工具将会分析sample.pcap文件中的前1000个数据包,主要针对TCP和UDP协议进行分析,然后将分析结果保存到output.txt文件中。
本项目的开发与发布遵循MIT开源许可证协议。
NetworkAssessment:
https://github.com/HalilDeniz/NetworkAssessment
https://tryhackme.com/p/halilovic
https://github.com/alperenugurlu