Pcap Inspection
RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση της τεχνικής γνώσης, αυτό το συνέδριο είναι ένας ζωηρός συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε ειδικότητα.
Μια σημείωση σχετικά με το PCAP έναντι του PCAPNG: υπάρχουν δύο εκδόσεις της μορφής αρχείου PCAP. Το PCAPNG είναι πιο πρόσφατο και δεν υποστηρίζεται από όλα τα εργαλεία. Ίσως χρειαστεί να μετατρέψετε ένα αρχείο από PCAPNG σε PCAP χρησιμοποιώντας το Wireshark ή ένα άλλο συμβατό εργαλείο, για να μπορέσετε να το χρησιμοποιήσετε σε άλλα εργαλεία.
Online εργαλεία για pcaps
Εάν η κεφαλίδα του pcap σας είναι κατεστραμμένη θα πρέπει να προσπαθήσετε να την επιδιορθώσετε χρησιμοποιώντας: http://f00l.de/hacking/pcapfix.php
Εξαγάγετε πληροφορίες και αναζητήστε κακόβουλο λογισμικό μέσα σε ένα pcap στο PacketTotal
Αναζητήστε κακόβουλη δραστηριότητα χρησιμοποιώντας το www.virustotal.com και το www.hybrid-analysis.com
Εξαγωγή Πληροφοριών
Τα παρακάτω εργαλεία είναι χρήσιμα για την εξαγωγή στατιστικών, αρχείων, κλπ.
Wireshark
Εάν πρόκειται να αναλύσετε ένα PCAP, πρέπει ουσιαστικά να ξέρετε πώς να χρησιμοποιήσετε το Wireshark
Μπορείτε να βρείτε μερικά κόλπα του Wireshark στο:
pageWireshark tricksΠλαίσιο Xplico
Xplico (μόνο για linux) μπορεί να αναλύσει ένα pcap και να εξάγει πληροφορίες από αυτό. Για παράδειγμα, από ένα αρχείο pcap, το Xplico εξάγει κάθε email (πρωτόκολλα POP, IMAP και SMTP), όλο το περιεχόμενο HTTP, κάθε κλήση VoIP (πρωτόκολλο SIP), FTP, TFTP και άλλα.
Εγκατάσταση
Εκτέλεση
Αποκτήστε πρόσβαση στο 127.0.0.1:9876 με διαπιστευτήρια xplico:xplico
Στη συνέχεια, δημιουργήστε ένα νέο περιστατικό, δημιουργήστε μια νέα συνεδρία μέσα στο περιστατικό και ανεβάστε το αρχείο pcap.
NetworkMiner
Όπως και το Xplico, είναι ένα εργαλείο για ανάλυση και εξαγωγή αντικειμένων από pcaps. Διαθέτει μια δωρεάν έκδοση που μπορείτε να κατεβάσετε εδώ. Λειτουργεί με Windows. Αυτό το εργαλείο είναι επίσης χρήσιμο για να ανακτήσετε άλλες πληροφορίες από τα πακέτα προκειμένου να μπορείτε να γνωρίζετε τι συνέβαινε με έναν ταχύτερο τρόπο.
NetWitness Investigator
Μπορείτε να κατεβάσετε το NetWitness Investigator από εδώ (Λειτουργεί σε Windows). Αυτό είναι ένα άλλο χρήσιμο εργαλείο που αναλύει τα πακέτα και ταξινομεί τις πληροφορίες με τρόπο που είναι χρήσιμος για να γνωρίζετε τι συμβαίνει μέσα.
Εξαγωγή και κωδικοποίηση ονοματεπώνυμων και κωδικών πρόσβασης (HTTP, FTP, Telnet, IMAP, SMTP...)
Εξαγωγή κατακεκριμένων καταλόγων ταυτοποίησης και αποκωδικοποίησή τους χρησιμοποιώντας το Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Δημιουργία οπτικού διαγράμματος δικτύου (Κόμβοι δικτύου και χρήστες)
Εξαγωγή ερωτήσεων DNS
Ανακατασκευή όλων των συνεδριών TCP & UDP
Ανάκτηση αρχείων
Capinfos
Ngrep
Αν ψάχνετε για κάτι μέσα στο pcap, μπορείτε να χρησιμοποιήσετε το ngrep. Εδώ υπάρχει ένα παράδειγμα χρησιμοποιώντας τα κύρια φίλτρα:
Ανάκτηση
Η χρήση κοινών τεχνικών ανάκτησης μπορεί να είναι χρήσιμη για την εξαγωγή αρχείων και πληροφοριών από το pcap:
pageFile/Data Carving & Recovery ToolsΚαταγραφή διαπιστευτηρίων
Μπορείτε να χρησιμοποιήσετε εργαλεία όπως το https://github.com/lgandx/PCredz για να αναλύσετε διαπιστευτήρια από ένα pcap ή ένα ζωντανό διεπαφή.
RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή την προώθηση τεχνικών γνώσεων, αυτό το συνέδριο είναι ένας ζωντανός σημείο συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε ειδικότητα.
Έλεγχος Εκμεταλλεύσεων/Κακόβουλου Λογισμικού
Suricata
Εγκατάσταση και ρύθμιση
Έλεγχος pcap
Για να εξετάσετε ένα αρχείο pcap, μπορείτε να χρησιμοποιήσετε το εργαλείο tcpdump
ή το Wireshark
. Αυτά τα εργαλεία σάς επιτρέπουν να αναλύσετε την κίνηση του δικτύου και να εξάγετε πληροφορίες από το αρχείο pcap.
Για να ελέγξετε ένα αρχείο pcap με το tcpdump
, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:
Αυτή η εντολή θα εμφανίσει όλη την κίνηση του δικτύου που καταγράφηκε στο αρχείο pcap.
Για να ελέγξετε ένα αρχείο pcap με το Wireshark
, απλά ανοίξτε το αρχείο pcap με το πρόγραμμα. Στη συνέχεια, μπορείτε να περιηγηθείτε στην κίνηση του δικτύου, να εφαρμόσετε φίλτρα και να αναλύσετε τα πακέτα που καταγράφηκαν.
Και τα δύο εργαλεία σάς παρέχουν τη δυνατότητα να εξετάσετε την κίνηση του δικτύου και να ανακαλύψετε πιθανές ασφαλείας προβλήματα ή ανωμαλίες.
YaraPcap
YaraPCAP είναι ένα εργαλείο που
Διαβάζει ένα αρχείο PCAP και εξάγει ροές Http.
Αποσυμπιέζει gzip οποιεσδήποτε συμπιεσμένες ροές
Σαρώνει κάθε αρχείο με το yara
Γράφει ένα αρχείο αναφοράς (report.txt)
Προαιρετικά αποθηκεύει τα αντιστοιχισμένα αρχεία σε έναν φάκελο (Dir)
Ανάλυση κακόβουλου λογισμικού
Ελέγξτε αν μπορείτε να βρείτε οποιοδήποτε αποτύπωμα γνωστού κακόβουλου λογισμικού:
pageMalware AnalysisZeek
Zeek είναι ένα παθητικό, ανοικτού κώδικα αναλυτής κίνησης δικτύου. Πολλοί χειριστές χρησιμοποιούν το Zeek ως έναν Επιτήρητη Ασφάλειας Δικτύου (NSM) για να υποστηρίξουν έρευνες ύποπτων ή κακόβουλων δραστηριοτήτων. Το Zeek υποστηρίζει επίσης μια ευρεία γκάμα από εργασίες ανάλυσης κίνησης πέρα από τον τομέα της ασφάλειας, συμπεριλαμβανομένης της μέτρησης της απόδοσης και της επίλυσης προβλημάτων.
Βασικά, τα αρχεία καταγραφής που δημιουργούνται από το zeek
δεν είναι pcaps. Επομένως, θα χρειαστείτε να χρησιμοποιήσετε άλλα εργαλεία για να αναλύσετε τις καταγραφές όπου βρίσκονται οι πληροφορίες για τα pcaps.
Πληροφορίες συνδέσεων
Πληροφορίες DNS
Οι πληροφορίες DNS (Domain Name System) αποτελούν σημαντικό μέρος της ανάλυσης κίνησης δικτύου. Ο DNS είναι ένα πρωτόκολλο που μετατρέπει τα ονόματα τομέων σε διευθύνσεις IP, επιτρέποντας έτσι την αναζήτηση και την πρόσβαση σε ιστοσελίδες.
Κατά την επιθετική ανάλυση, η εξέταση των πακέτων DNS μπορεί να παράσχει πολύτιμες πληροφορίες. Μπορείτε να εξετάσετε τα πακέτα DNS για να ανιχνεύσετε ενδείξεις κακόβουλης δραστηριότητας, όπως παραποίηση DNS, επιθέσεις DDoS ή ανεπιθύμητης αλληλογραφίας.
Για να εξετάσετε τα πακέτα DNS, μπορείτε να χρησιμοποιήσετε εργαλεία όπως το Wireshark για να αναλύσετε την κίνηση δικτύου και να εξάγετε πληροφορίες σχετικά με τα ονόματα τομέων, τις διευθύνσεις IP και τις αντίστοιχες αναζητήσεις DNS.
Αναλύοντας τα πακέτα DNS, μπορείτε να ανακαλύψετε πιθανές ευπάθειες στο σύστημα, να εντοπίσετε κακόβουλο λογισμικό ή να αναγνωρίσετε ανεπιθύμητες επικοινωνίες με εξωτερικούς διακομιστές.
Συνοψίζοντας, η εξέταση των πακέτων DNS μπορεί να παράσχει σημαντικές πληροφορίες για την ανάλυση κίνησης δικτύου και την ανίχνευση κακόβουλων δραστηριοτήτων.
Άλλα κόλπα ανάλυσης pcap
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON είναι το πιο σχετικό συνέδριο κυβερνοασφάλειας στην Ισπανία και ένα από τα πιο σημαντικά στην Ευρώπη. Με αποστολή να προωθήσει την τεχνική γνώση, αυτό το συνέδριο είναι ένας ζωντανός σημείο συνάντησης για επαγγελματίες τεχνολογίας και κυβερνοασφάλειας σε κάθε ειδικότητα.
Last updated