我们能用无源指纹建立网络拓扑吗？

Question

我们能否使用诸如P0f、OSSIM和其他被动指纹工具等工具来建立一个全面的网络拓扑结构，说明这些设备是如何互连的？

还是有一种建立网络拓扑的被动手指打印方式？没有任何积极的探测，跟踪，nmap等。

Answer 1

分析进入单个系统的流量的被动方法不太可能对您有效，除非您具有非常小的网络拓扑结构。使用像P0f或OSSIM这样的工具，您将了解其他子网的存在，但前提是它们连接到您的框中。您将不会了解它们之间的关系，甚至不一定了解网络中所有子网的完整图片。

您想要捕获的是路由协议流量。路由器使用OSPF、EIGRP等协议相互发送路由更新。如果您可以看到至少可以构建部分网络拓扑，那么完整程度取决于协议以及收集器在其中的位置。如果你是在一个OSPF存根区域，它将是非常有限的，如果你更接近核心，它将是更完整的。除非您的系统没有参与路由协议的多播组，所以您的系统无法从网络设备上运行一个跨度，否则系统将不会获得任何这些信息。