Pcap Inspection
RootedCON स्पेन में सबसे महत्वपूर्ण साइबर सुरक्षा घटना है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस प्रौद्योगिकी और साइबर सुरक्षा विशेषज्ञों के लिए एक उबाऊ मिलन स्थल है।
PCAP बनाम PCAPNG के बारे में एक नोट: PCAP फ़ाइल प्रारूप के दो संस्करण हैं; PCAPNG नया है और सभी उपकरणों द्वारा समर्थित नहीं है। कुछ अन्य उपकरणों में इसके साथ काम करने के लिए आपको एक फ़ाइल को Wireshark या किसी अन्य संगत उपकरण का उपयोग करके PCAP से PCAPNG में परिवर्तित करने की आवश्यकता हो सकती है।
Pcap के लिए ऑनलाइन उपकरण
यदि आपके pcap का हेडर टूटा हुआ है तो आपको इसे ठीक करने के लिए यह आजमाना चाहिए: http://f00l.de/hacking/pcapfix.php
PacketTotal में pcap में जानकारी और मैलवेयर खोजें
www.virustotal.com और www.hybrid-analysis.com का उपयोग करके दुष्ट गतिविधि खोजें
जानकारी निकालें
निम्नलिखित उपकरण सांख्यिकी, फ़ाइलें आदि निकालने के लिए उपयोगी हैं।
Wireshark
यदि आप एक PCAP का विश्लेषण करने जा रहे हैं तो आपको मूल रूप से Wireshark का उपयोग कैसे करना है यह जानना चाहिए
आप Wireshark में कुछ ट्रिक्स यहाँ पा सकते हैं:
pageWireshark tricksXplico Framework
Xplico (केवल लिनक्स) एक pcap का विश्लेषण कर सकता है और इससे जानकारी निकाल सकता है। उदाहरण के लिए, एक pcap फ़ाइल से Xplico, प्रत्येक ईमेल (POP, IMAP, और SMTP प्रोटोकॉल), सभी HTTP सामग्री, प्रत्येक VoIP कॉल (SIP), FTP, TFTP, और इत्यादि निकालता है।
स्थापित करें
चलाएं
पहुँच 127.0.0.1:9876 के साथ पहुँचने के लिए पहुँचकर्ता xplico:xplico
फिर नया मामला बनाएं, मामले के अंदर नई सत्र बनाएं और pcap फ़ाइल अपलोड करें।
NetworkMiner
Xplico की तरह यह एक उपकरण है जो pcaps से वस्तुओं का विश्लेषण और निकालना करने के लिए है। इसका एक मुफ्त संस्करण है जिसे आप यहाँ से डाउनलोड कर सकते हैं। यह Windows के साथ काम करता है। यह उपकरण भी पैकेट्स से अन्य जानकारी प्राप्त करने के लिए उपयोगी है ताकि एक तेज़ तरीके से क्या हो रहा था उसे पता चल सके।
NetWitness Investigator
आप यहाँ से NetWitness Investigator डाउनलोड कर सकते हैं (यह Windows में काम करता है)। यह एक और उपयोगी उपकरण है जो पैकेट्स का विश्लेषण करता है और जानकारी को एक उपयोगी तरीके से व्यवस्थित करता है ताकि अंदर क्या हो रहा है उसे पता चल सके।
उपयोगकर्ता नाम और पासवर्ड (HTTP, FTP, Telnet, IMAP, SMTP...) को निकालना और एन्कोड करना
प्रमाणीकरण हैश निकालना और Hashcat का उपयोग करके उन्हें क्रैक करना (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
एक दृश्यात्मक नेटवर्क आरेखित करना (नेटवर्क नोड्स और उपयोगकर्ता)
DNS पूछताछ निकालना
सभी TCP और UDP सत्रों का पुनर्निर्माण करना
फ़ाइल कार्विंग
Capinfos
Ngrep
यदि आप pcap के अंदर कुछ ढूंढ़ रहे हैं तो आप ngrep का उपयोग कर सकते हैं। यहाँ मुख्य फ़िल्टर्स का उपयोग करके एक उदाहरण है:
Carving
सामान्य कार्विंग तकनीक का उपयोग करके pcap से फ़ाइलें और जानकारी निकालना उपयोगी हो सकता है:
pageFile/Data Carving & Recovery Toolsक्रेडेंशियल कैप्चर
आप https://github.com/lgandx/PCredz जैसे उपकरणों का उपयोग कर सकते हैं ताकि आप pcap या लाइव इंटरफेस से क्रेडेंशियल को पार्स कर सकें।
RootedCON स्पेन में सबसे महत्वपूर्ण साइबर सुरक्षा घटना है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस प्रौद्योगिकी और साइबर सुरक्षा विशेषज्ञों के लिए एक उबाऊ मिलन स्थल है।
जांच करें Exploits/Malware
Suricata
स्थापित और सेटअप
पीकैप जांचें
यारापीसीएपी
YaraPCAP एक टूल है जो
एक PCAP फ़ाइल पढ़ता है और Http स्ट्रीम्स निकालता है।
किसी भी संपीडित स्ट्रीम को gzip डिफ़्लेट करता है
हर फ़ाइल को यारा के साथ स्कैन करता है
रिपोर्ट.txt लिखता है
वैकल्पिक रूप से मिलने वाली फ़ाइलों को एक डिर में सहेजता है
मैलवेयर विश्लेषण
जांच करें कि क्या आप किसी जाने-माने मैलवेयर का कोई आंकड़ा खोज सकते हैं:
pageMalware AnalysisZeek
Zeek एक पैसिव, ओपन-सोर्स नेटवर्क ट्रैफ़िक विश्लेषक है। कई ऑपरेटर्स संदेहात्मक या दुराचार गतिविधि की जांच का समर्थन करने के लिए Zeek का उपयोग नेटवर्क सुरक्षा मॉनिटर (NSM) के रूप में करते हैं। Zeek इसके अलावा सुरक्षा डोमेन के पार एक व्यापक ट्रैफ़िक विश्लेषण कार्यों का समर्थन भी करता है, जिसमें प्रदर्शन मापन और समस्या सुलझाने जैसे कार्य शामिल हैं।
मूल रूप से, zeek
द्वारा बनाए गए लॉग पीकैप्स नहीं हैं। इसलिए आपको लॉग का विश्लेषण करने के लिए अन्य उपकरण का उपयोग करना होगा जहां जानकारी पीकैप्स के बारे में होती है।
कनेक्शन जानकारी
DNS जानकारी
अन्य pcap विश्लेषण ट्रिक्स
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON स्पेन में सबसे महत्वपूर्ण साइबर सुरक्षा घटना है और यूरोप में सबसे महत्वपूर्ण में से एक है। तकनीकी ज्ञान को बढ़ावा देने के मिशन के साथ, यह कांग्रेस प्रौद्योगिकी और साइबर सुरक्षा विशेषज्ञों के लिए एक उबाऊ मिलन स्थल है।
Last updated