Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON स्पेन में सबसे प्रासंगिक साइबर सुरक्षा कार्यक्रम है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस हर अनुशासन में प्रौद्योगिकी और साइबर सुरक्षा पेशेवरों के लिए एक उबालता हुआ बैठक बिंदु है।
PCAP बनाम PCAPNG के बारे में एक नोट: PCAP फ़ाइल प्रारूप के दो संस्करण हैं; PCAPNG नया है और सभी उपकरणों द्वारा समर्थित नहीं है। आपको कुछ अन्य उपकरणों में इसके साथ काम करने के लिए Wireshark या किसी अन्य संगत उपकरण का उपयोग करके PCAPNG से PCAP में फ़ाइल को परिवर्तित करने की आवश्यकता हो सकती है।
यदि आपके pcap का हेडर टूट गया है तो आपको इसे सुधारने के लिए प्रयास करना चाहिए: http://f00l.de/hacking/pcapfix.php
PacketTotal में एक pcap के अंदर सूचना निकालें और malware के लिए खोजें
www.virustotal.com और www.hybrid-analysis.com का उपयोग करके दुर्भावनापूर्ण गतिविधि के लिए खोजें
ब्राउज़र में पूर्ण pcap विश्लेषण https://apackets.com/ पर करें
निम्नलिखित उपकरण सांख्यिकी, फ़ाइलें, आदि निकालने के लिए उपयोगी हैं।
यदि आप एक PCAP का विश्लेषण करने जा रहे हैं तो आपको मूल रूप से Wireshark का उपयोग करना आना चाहिए
आप कुछ Wireshark ट्रिक्स यहाँ पा सकते हैं:
Wireshark tricksब्राउज़र से Pcap विश्लेषण।
Xplico (केवल लिनक्स) एक pcap का विश्लेषण कर सकता है और इससे जानकारी निकाल सकता है। उदाहरण के लिए, एक pcap फ़ाइल से Xplico, प्रत्येक ईमेल (POP, IMAP, और SMTP प्रोटोकॉल), सभी HTTP सामग्री, प्रत्येक VoIP कॉल (SIP), FTP, TFTP, आदि निकालता है।
Install
चलाएँ
Access to 127.0.0.1:9876 with credentials xplico:xplico
Then create a नया मामला, create a नया सत्र inside the case and अपलोड करें pcap file.
Like Xplico it is a tool to विश्लेषण करें और pcaps से वस्तुएं निकालें. It has a free edition that you can डाउनलोड करें यहां. It works with Windows. This tool is also useful to get अन्य जानकारी का विश्लेषण from the packets in order to be able to know what was happening in a तेज़ way.
You can download NetWitness Investigator from here (यह Windows में काम करता है). This is another useful tool that पैकेटों का विश्लेषण करता है and sorts the information in a useful way to जानने के लिए कि अंदर क्या हो रहा है.
Extracting and encoding usernames and passwords (HTTP, FTP, Telnet, IMAP, SMTP...)
Extract authentication hashes and crack them using Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Build a visual network diagram (Network nodes & users)
Extract DNS queries
Reconstruct all TCP & UDP Sessions
File Carving
यदि आप pcap के अंदर कुछ खोज रहे हैं तो आप ngrep का उपयोग कर सकते हैं। यहाँ मुख्य फ़िल्टर का उपयोग करते हुए एक उदाहरण है:
सामान्य carving तकनीकों का उपयोग pcap से फ़ाइलों और जानकारी निकालने के लिए उपयोगी हो सकता है:
File/Data Carving & Recovery Toolsआप pcap या एक लाइव इंटरफ़ेस से क्रेडेंशियल्स को पार्स करने के लिए https://github.com/lgandx/PCredz जैसे उपकरणों का उपयोग कर सकते हैं।
RootedCON स्पेन में सबसे प्रासंगिक साइबरसुरक्षा कार्यक्रम है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस हर अनुशासन में प्रौद्योगिकी और साइबरसुरक्षा पेशेवरों के लिए एक उबालता हुआ बैठक बिंदु है।
इंस्टॉल और सेटअप
pcap की जांच करें
YaraPCAP एक उपकरण है जो
एक PCAP फ़ाइल पढ़ता है और Http स्ट्रीम निकालता है।
किसी भी संकुचित स्ट्रीम को gzip डिफ्लेट करता है
हर फ़ाइल को यारा के साथ स्कैन करता है
एक report.txt लिखता है
वैकल्पिक रूप से मेल खाने वाली फ़ाइलों को एक Dir में सहेजता है
जांचें कि क्या आप किसी ज्ञात मैलवेयर का कोई फिंगरप्रिंट पा सकते हैं:
Malware AnalysisZeek एक पैसिव, ओपन-सोर्स नेटवर्क ट्रैफिक एनालाइज़र है। कई ऑपरेटर संदिग्ध या दुर्भावनापूर्ण गतिविधियों की जांच का समर्थन करने के लिए Zeek का उपयोग नेटवर्क सुरक्षा मॉनिटर (NSM) के रूप में करते हैं। Zeek सुरक्षा डोमेन के अलावा प्रदर्शन माप और समस्या निवारण सहित ट्रैफिक विश्लेषण कार्यों की एक विस्तृत श्रृंखला का समर्थन करता है।
बुनियादी रूप से, zeek
द्वारा बनाए गए लॉग pcaps नहीं होते हैं। इसलिए आपको उन लॉग का विश्लेषण करने के लिए अन्य उपकरणों का उपयोग करने की आवश्यकता होगी जहाँ pcaps के बारे में जानकारी है।
RootedCON स्पेन में सबसे प्रासंगिक साइबर सुरक्षा कार्यक्रम है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस हर अनुशासन में प्रौद्योगिकी और साइबर सुरक्षा पेशेवरों के लिए एक उष्णकटिबंधीय बैठक बिंदु है।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)