针对工控网络的被动网络映射工具

一 简单介绍

工具名字叫：GRASSMARLIN 来头不小，是美国国家安全局发布的，最近开放了源码，工具如题是一款免费的专门针对工业网络的被动网络映射工具，即展示工业网络环境的资产以及流关系信息。

开源地址：https://Github.com/nsacyber/GRASSMARLIN/releases

目前最高是3.3Beta3版本。

最初，GrassMarlin的开发重点是监控和数据采集（SCADA）和工业控制系统（ICS）主机。然而，它已经从这些起源扩展到在更广泛的环境中运行，包括OT和IT（运营和信息技术）领域。通过3.3.0版添加的插件支持，GrassMarlin几乎可以适应任何网络环境，包括无线和串行。有了正确的插件集，它可能也可以支持社交网络的分析。

它支持多种数据的收集，比如通过pcap分析得到数据、通过网卡抓包得到数据，还可以导入思科路由器的配置等。

• GrassMarlin不是捕获工具。捕获实时 Pcap 的能力是为了方便，而不是作为更强大的捕获引擎的替代品。除了这个功能只是在混杂模式下侦听NIC，GrassMarlin没有捕获功能。
• GrassMarlin不是捕获工具。GrassMarlin没有任何特殊功能来查找您的网络上的信息。它不会解密VPN隧道，不会解复用IP串连连接，也不会自己做任何事情。您（用户）有责任准确地告诉 GrassMarlin 要导入哪些数据文件，并确保这些文件采用它可以理解的格式。反过来，它以一种希望有助于分析该数据的方式呈现这些文件中的信息。
• GrassMarlin不是一个分析引擎。虽然许多分析任务可以自动化，但GrassMarlin并没有开箱即用地自动化它们 - 每种情况都足够独特，无法做到这一点。GrassMarlin不会取代分析师，而是帮助他们。
• GrassMarlin不是Wireshark的替代品。GrassMarlin和Wireshark使用相同的数据，但为用户提供不同的信息。GrassMarlin旨在补充Wireshark - 它旨在帮助筛选Pcap数据的大海捞针，以隔离潜在的针头，而这些针头又应该在Wireshark中进行检查。
• GrassMarlin不是一个数据存储库。会话旨在成为短期实体，而不是可访问的持久数据存储。已经努力促进开发将数据从GrassMarlin移动到适当的数据存储库（如数据库）的系统。
• GrassMarlin不是捕获工具。你给它数据，它组织这些数据。

数据文件被导入到GrassMarlin中，并从这些文件收集，排序和存储信息。与其他数据集（指纹识别、OUI 查找等）的关联与导入的数据集成在一起，共同生成逻辑图和物理图。插件不仅可以在输入格式方面进行扩展，还可以集成新的数据源、得出结论并将结果内容传达给用户，但逻辑图和物理图仍然是 GrassMarlin 的基本输出。

2.1 下载

可以在relase处下载相关系统下的编译好的应用程序，应用为JAVA开发，可以支持windows、linux等多个系统环境。

安装包

编译好的安装包

2.2 主界面展示

左边为展示的资产列表，根据需要展示网络地址分组或国家分组等，右边主要用来展示资产的拓扑关系图。

2.3 使用

新建个session后，导入文件或进行网卡流量镜像后，可以得到如下的逻辑图（其实算是IP的通信关系图，旁边另一个tab为物理关系图，即mac的关系图）：

网络关系图

上图是根据网段进行分组的场景，右边不同的色块是不同的网段，在不同色块内展示具体的ip（mac）右键点击查看子元素可以看到通信的端口信息：

类似下图：

当然整个图支持缩放，也可以支持将关注的点放在中心位置。

展开图中红色是TCP端口、绿色为UDP端口、深蓝色表示路由器的地址、黑色表示默认值。

对于每个端口关联的连接，可以右键看下具体两个节点间的通信包的大小、端口等基本信息，如下。

2.4 插件功能

整个系统有一套插件系统，可以支持通过插件的形式进行功能的扩展，且通过pipeline方式进行配置，在“工具”菜单可看到pipeline的配置如下图：

2.5 节点详情信息查看

资产信息详情

有些复杂的关系图，如果按照网络来展示，形成的复杂的形状还挺有意思：