一 简单介绍
工具名字叫:GRASSMARLIN 来头不小,是美国国家安全局发布的,最近开放了源码,工具如题是一款免费的专门针对工业网络的被动网络映射工具,即展示工业网络环境的资产以及流关系信息。
开源地址:https://Github.com/nsacyber/GRASSMARLIN/releases
目前最高是3.3Beta3版本。
最初,GrassMarlin的开发重点是监控和数据采集(SCADA)和工业控制系统(ICS)主机。然而,它已经从这些起源扩展到在更广泛的环境中运行,包括OT和IT(运营和信息技术)领域。通过3.3.0版添加的插件支持,GrassMarlin几乎可以适应任何网络环境,包括无线和串行。有了正确的插件集,它可能也可以支持社交网络的分析。
它支持多种数据的收集,比如通过pcap分析得到数据、通过网卡抓包得到数据,还可以导入思科路由器的配置等。
数据文件被导入到GrassMarlin中,并从这些文件收集,排序和存储信息。与其他数据集(指纹识别、OUI 查找等)的关联与导入的数据集成在一起,共同生成逻辑图和物理图。插件不仅可以在输入格式方面进行扩展,还可以集成新的数据源、得出结论并将结果内容传达给用户,但逻辑图和物理图仍然是 GrassMarlin 的基本输出。
2.1 下载
可以在relase处下载相关系统下的编译好的应用程序,应用为JAVA开发,可以支持windows、linux等多个系统环境。
安装包
编译好的安装包
2.2 主界面展示
左边为展示的资产列表,根据需要展示网络地址分组或国家分组等,右边主要用来展示资产的拓扑关系图。
2.3 使用
新建个session后,导入文件或进行网卡流量镜像后,可以得到如下的逻辑图(其实算是IP的通信关系图,旁边另一个tab为物理关系图,即mac的关系图):
网络关系图
上图是根据网段进行分组的场景,右边不同的色块是不同的网段,在不同色块内展示具体的ip(mac)右键点击查看子元素可以看到通信的端口信息:
类似下图:
当然整个图支持缩放,也可以支持将关注的点放在中心位置。
展开图中红色是TCP端口、绿色为UDP端口、深蓝色表示路由器的地址、黑色表示默认值。
对于每个端口关联的连接,可以右键看下具体两个节点间的通信包的大小、端口等基本信息,如下。
2.4 插件功能
整个系统有一套插件系统,可以支持通过插件的形式进行功能的扩展,且通过pipeline方式进行配置,在“工具”菜单可看到pipeline的配置如下图:
2.5 节点详情信息查看
资产信息详情
有些复杂的关系图,如果按照网络来展示,形成的复杂的形状还挺有意思: