ferramentas foss para perícia forense de rede
Post on 06-Mar-2016
228 Views
Preview:
DESCRIPTION
TRANSCRIPT
Perícia Forense de Rede
Ramilton Costa Gomes JúniorEmbaixador Fedora Brasil.
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
Ferramentas FOSS para
Whois Ramilton Costa
1. Bacharel em Ciência da Computação – Unifenas.
2. Especialista em Segurança e Criptografia – UFF.
3. Mestrando em Informática – UFES
4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre.
5. Professor Universitário – Graduação e Pós graduação
6. Embaixador Fedora Brasil.
Definição
A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)
Definição
Ferramentas FOSS
É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.
http://ngrep.sourceforge.net/
Ngrep
Como usar
Depurar protocolos (http, smtp, ftp);
Identificar e analisar as comunicações de redes anômalas;
Armazena, lê e processa arquivos PCAP
Ngrep
Exemplo
ngrep -w 'smtp' -I evidence02.pcap
input: evidence02.pcapmatch: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W))#########################U 192.168.1.159:1026 -> 10.1.1.20:53.............smtp.aol.com.....#U 10.1.1.20:53 -> 192.168.1.159:1026.............smtp.aol.com..................smtp.cs...*..........@.f..*..........@..w.*...............*...............*..........@.N..*..........@....*.............2.*.............../...........dns02.ns././...........dns-01.
Ngrep
O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;
http://www.xplico.org
Xplico
Características:
Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...;
Multithreading;
Suporta IPv4 e IPv6.
Xplico
Xplico
Xplico
Xplico
Útil para captura de dados durante a resposta a incidentes de segurança;
http://www.tcpdump.org
Tcpdump
Como usar:
Captura de pacotes;
Análise de rede em tempo real;
Análise de protocolos;
Análise por flags.
Tcpdump
Exemplo:
tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap
Tcpdump
É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;
http://www.wireshark.org
Wireshark
Como usar:
Solucionar problemas de rede;
Examinar problemas de seguraça;
Depurar implementações de protocolos;
Aprender protocolos.
Wireshark
Wireshark
Wireshark
Capturar e reconstruir as ações realizadas através de uma rede TCP;
http://sourceforge.net/projects/tcpflow/
Tcpflow
Como usar:
Analisa pacotes IP capturado por sniffers;
Capturar dados de vários programas;
É utilizado para analisar protocolos HTTP.
Tcpflow
Exemplo
tcpflow -r evidence02.pcap
064.012.102.142.00587-192.168.001.159.01036
064.012.102.142.00587-192.168.001.159.01038
192.168.001.159.01036-064.012.102.142.00587
192.168.001.159.01038-064.012.102.142.00587
Tcpflow
Converter um arquivo em formato ASCII PCAP, útil para a análise;
http://linux.die.net/man/1/tcpshow
Tcpshow
Exemplo:tcpshow -pp -track < evidence02.pcap > arquivo.asciicat arquivo.asciiPacket 1Timestamp: 10:34:08.112737IP Header<Not an IPv4 datagram (ver=0)>-----------------------------------------------------------------Packet 2Timestamp: 10:34:11.607705IP Header<Not an IPv4 datagram (ver=0)>
Tcpshow
Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;
http://www.tcptrace.org/
Tcptrace
Como usar:
Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP;
Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output;
Conexões de filtradas;
Tcptrace
Exemplo:tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt
Tcptrace
É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS);
http://www.snort.org/
Snort
Como usar:
Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP;
Pode realizar análise de protocolo, pesquisa de conteúdo;
Snort
sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcapRunning in IDS mode--== Initializing Snort ==--Initializing Output Plugins!Initializing Preprocessors!Initializing Plug-ins!Parsing Rules file "/etc/snort/snort.conf"PortVar 'HTTP_PORTS' defined : [ 80 ]PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]PortVar 'ORACLE_PORTS' defined : [ 1521 ]PortVar 'FTP_PORTS' defined : [ 21 ]Tagged Packet Limit: 256Loading dynamic engine/usr/lib/snort_dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from
Snort
cat /var/log/snort/alert[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3TcpLen: 32TCP Options (3) => NOP NOP TS: 7467858 4972912[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:25.403029 192.168.1.8:54379 ->
Snort
Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;
http://tcpxtract.sourceforge.net/
Tcpxtract
Como usar:
Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");
Tcpxtract
tcpxtract -f evidence02.pcap
Found file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000000.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000001.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000002.png
Tcpxtract
Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;
http://tcpreplay.synfin.net/
Tcpreplay
Como usar:
Testar uma variedade de dispositivos de rede;
Ele permite que você classificar o tráfego como cliente ou servidor;
Tcpreplay
tcpreplay --intf1=eth0 evidence02.pcapsending out eth0processing file: evidence02.pcapWarning: Packet #420 has gone back in time!Warning: Packet #430 has gone back in time!Actual: 572 packets (325968 bytes) sent in 255.20secondsRated: 1277.3 bps, 0.01 Mbps, 2.24 ppsStatistics for network device: eth0Attempted packets:572Successful packets:
Tcpreplay
Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;
http://chaosreader.sourceforge.net/
Chaosreader
Como usar:
Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP);
Relatórios imagem conteúdo de HTTP GET/POST;
Chaosreader
./chaosreader0.94 evidence02.pcap$* is no longer supported at ./chaosreader0.94 line 265.Chaosreader ver 0.94Opening, evidence02.pcapReading file contents,100% (335144/335144)Reassembling packets,100% (539/542)Creating files...Num Session (host:port <=> host:port) Service0007 192.168.1.159:1036,64.12.102.142:587 submission0008 192.168.1.159:1038,64.12.102.142:587 submission0002 192.168.1.10:123,192.168.1.255:123 ntp0009 192.168.1.159:1025,192.168.1.30:514 syslogindex.html created.
Chaosreader
Chaosreader
Chaosreader
Chaosreader
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
E-mail - ramiltoncosta@gmail.comTwitter - @proframiltonFacebook - http://www.facebook.com/ProfRamilton
Contatos:
top related