Above是一款专为红队研究人员设计的网络协议嗅探工具，该工具隐蔽型极强，可以帮助广大研究人员搜索目标网络中的相关安全漏洞。

Above可以帮助渗透测试人员和安全专家搜索目标网络设备中的安全漏洞，该工具完全基于网络流量来执行安全分析，因此不会在网络系统中产生任何噪声。Above使用纯Python开发，基于Scapy库实现其功能。Above的主要任务是搜索目标网络内部的L2/L3协议，基于流量嗅探来识别和发现配置中存在的安全问题。

当前版本的Above支持检测下列12种网络协议：

1、CDP

2、DTP

3、Dot1Q

4、OSPF

5、EIGRP

6、VRRPv2

7、HSRPv1

8、STP

9、LLMNR

10、NBT-NS

11、MDNS

12、DHCPv6

需要注意的是，该工具实现了线程机制，因此所有的协议分析都可以同步进行。

Above支持下列两种运行模式：

1、热模式：定期对目标接口执行实时嗅探；

2、冷模式：离线分析之前转储的流量数据；

我们只需要给工具脚本指定运行参数，即可控制Above的任务执行：

Interface：指定需要嗅探的目标网络接口；

Timer：设置执行流量分析的时间间隔；

Output pcap：Above将会把监听到的流量数据记录到pcap文件中，文件名称支持自定义；

Input pcap：工具支持将准备好的.pcap文件作为输入参数，并对其执行安全审计分析；

Impact：可以针对该协议执行的攻击类型；

Tools：可以针对该协议执行攻击的工具；

Technical Information：攻击者所需要的相关信息，例如IP地址、FHRP组ID、OSPF/EIGRP域等；

由于该工具基于纯Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

caster@kali:~$ git clone https://github.com/wearecaster/Above

（右滑查看更多）

然后切换到项目目录中，执行工具安装脚本即可：

caster@kali:~$ cd Above/
caster@kali:~/Above$ sudo python3 setup.py install

工具参数

usage: above [-h] [--interface INTERFACE] [--timer TIMER] [--output-pcap OUTPUT_FILE] [--input-pcap INPUT_FILE]
 
options:
  -h, --help                     显示工具帮助信息和退出
  --interface INTERFACE         指定目标网络接口
  --timer TIMER                 指定一个时间间隔（秒）
  --output-pcap OUTPUT_FILE    指定记录流量的输出pcap文件路径
  --input-pcap INPUT_FILE       指定要分析流量的输入pcap文件路径

首先，我们需要先将接口切换为混杂模式，并使用root权限运行Above脚本：

caster@kali:~$ sudo ip link set eth0 promisc on

Above在启动时至少要指定一个目标接口和一个计时器：

caster@kali:~$ sudo above --interface eth0 --timer 120

如果你需要记录嗅探到的网络流量，请使用--output-pcap参数：

caster@kali:~$ sudo above --interface eth0 --timer 120 --output-pcap dump.pcap

（右滑查看更多）

如果你已经存储了记录下的嗅探流量，你可以使用--input-pcap参数来寻找其中潜在的安全问题：

caster@kali:~$ above --input-pcap dump.pcap

本项目的开发与发布遵循Apache-2.0开源许可证协议。

Above：

https://github.com/wearecaster/Above

https://pypi.org/project/auto-py-to-exe/