ferramentas foss para perícia forense de rede
DESCRIPTION
Palestra do Ramilton Costa Gomes Junior na Area de Software Livre da Campus Party Brasil 2013TRANSCRIPT
![Page 1: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/1.jpg)
Perícia Forense de Rede
Ramilton Costa Gomes JúniorEmbaixador Fedora Brasil.
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
Ferramentas FOSS para
![Page 2: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/2.jpg)
Whois Ramilton Costa
1. Bacharel em Ciência da Computação – Unifenas.
2. Especialista em Segurança e Criptografia – UFF.
3. Mestrando em Informática – UFES
4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre.
5. Professor Universitário – Graduação e Pós graduação
6. Embaixador Fedora Brasil.
![Page 3: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/3.jpg)
Definição
![Page 4: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/4.jpg)
A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)
Definição
![Page 5: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/5.jpg)
Ferramentas FOSS
![Page 6: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/6.jpg)
É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.
http://ngrep.sourceforge.net/
Ngrep
![Page 7: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/7.jpg)
Como usar
Depurar protocolos (http, smtp, ftp);
Identificar e analisar as comunicações de redes anômalas;
Armazena, lê e processa arquivos PCAP
Ngrep
![Page 8: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/8.jpg)
Exemplo
ngrep -w 'smtp' -I evidence02.pcap
input: evidence02.pcapmatch: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W))#########################U 192.168.1.159:1026 -> 10.1.1.20:53.............smtp.aol.com.....#U 10.1.1.20:53 -> 192.168.1.159:1026.............smtp.aol.com..................smtp.cs...*[email protected]..*[email protected].*...............*...............*[email protected]..*..........@....*.............2.*.............../...........dns02.ns././...........dns-01.
Ngrep
![Page 9: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/9.jpg)
O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;
http://www.xplico.org
Xplico
![Page 10: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/10.jpg)
Características:
Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...;
Multithreading;
Suporta IPv4 e IPv6.
Xplico
![Page 11: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/11.jpg)
Xplico
![Page 12: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/12.jpg)
Xplico
![Page 13: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/13.jpg)
Xplico
![Page 14: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/14.jpg)
Útil para captura de dados durante a resposta a incidentes de segurança;
http://www.tcpdump.org
Tcpdump
![Page 15: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/15.jpg)
Como usar:
Captura de pacotes;
Análise de rede em tempo real;
Análise de protocolos;
Análise por flags.
Tcpdump
![Page 16: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/16.jpg)
Exemplo:
tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap
Tcpdump
![Page 17: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/17.jpg)
É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;
http://www.wireshark.org
Wireshark
![Page 18: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/18.jpg)
Como usar:
Solucionar problemas de rede;
Examinar problemas de seguraça;
Depurar implementações de protocolos;
Aprender protocolos.
Wireshark
![Page 19: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/19.jpg)
Wireshark
![Page 20: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/20.jpg)
Wireshark
![Page 21: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/21.jpg)
Capturar e reconstruir as ações realizadas através de uma rede TCP;
http://sourceforge.net/projects/tcpflow/
Tcpflow
![Page 22: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/22.jpg)
Como usar:
Analisa pacotes IP capturado por sniffers;
Capturar dados de vários programas;
É utilizado para analisar protocolos HTTP.
Tcpflow
![Page 23: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/23.jpg)
Exemplo
tcpflow -r evidence02.pcap
064.012.102.142.00587-192.168.001.159.01036
064.012.102.142.00587-192.168.001.159.01038
192.168.001.159.01036-064.012.102.142.00587
192.168.001.159.01038-064.012.102.142.00587
Tcpflow
![Page 24: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/24.jpg)
Converter um arquivo em formato ASCII PCAP, útil para a análise;
http://linux.die.net/man/1/tcpshow
Tcpshow
![Page 25: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/25.jpg)
Exemplo:tcpshow -pp -track < evidence02.pcap > arquivo.asciicat arquivo.asciiPacket 1Timestamp: 10:34:08.112737IP Header<Not an IPv4 datagram (ver=0)>-----------------------------------------------------------------Packet 2Timestamp: 10:34:11.607705IP Header<Not an IPv4 datagram (ver=0)>
Tcpshow
![Page 26: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/26.jpg)
Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;
http://www.tcptrace.org/
Tcptrace
![Page 27: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/27.jpg)
Como usar:
Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP;
Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output;
Conexões de filtradas;
Tcptrace
![Page 28: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/28.jpg)
Exemplo:tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt
Tcptrace
![Page 29: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/29.jpg)
É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS);
http://www.snort.org/
Snort
![Page 30: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/30.jpg)
Como usar:
Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP;
Pode realizar análise de protocolo, pesquisa de conteúdo;
Snort
![Page 31: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/31.jpg)
sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcapRunning in IDS mode--== Initializing Snort ==--Initializing Output Plugins!Initializing Preprocessors!Initializing Plug-ins!Parsing Rules file "/etc/snort/snort.conf"PortVar 'HTTP_PORTS' defined : [ 80 ]PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]PortVar 'ORACLE_PORTS' defined : [ 1521 ]PortVar 'FTP_PORTS' defined : [ 21 ]Tagged Packet Limit: 256Loading dynamic engine/usr/lib/snort_dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from
Snort
![Page 32: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/32.jpg)
cat /var/log/snort/alert[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3TcpLen: 32TCP Options (3) => NOP NOP TS: 7467858 4972912[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:25.403029 192.168.1.8:54379 ->
Snort
![Page 33: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/33.jpg)
Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;
http://tcpxtract.sourceforge.net/
Tcpxtract
![Page 34: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/34.jpg)
Como usar:
Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");
Tcpxtract
![Page 35: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/35.jpg)
tcpxtract -f evidence02.pcap
Found file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000000.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000001.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000002.png
Tcpxtract
![Page 36: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/36.jpg)
Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;
http://tcpreplay.synfin.net/
Tcpreplay
![Page 37: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/37.jpg)
Como usar:
Testar uma variedade de dispositivos de rede;
Ele permite que você classificar o tráfego como cliente ou servidor;
Tcpreplay
![Page 38: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/38.jpg)
tcpreplay --intf1=eth0 evidence02.pcapsending out eth0processing file: evidence02.pcapWarning: Packet #420 has gone back in time!Warning: Packet #430 has gone back in time!Actual: 572 packets (325968 bytes) sent in 255.20secondsRated: 1277.3 bps, 0.01 Mbps, 2.24 ppsStatistics for network device: eth0Attempted packets:572Successful packets:
Tcpreplay
![Page 39: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/39.jpg)
Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;
http://chaosreader.sourceforge.net/
Chaosreader
![Page 40: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/40.jpg)
Como usar:
Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP);
Relatórios imagem conteúdo de HTTP GET/POST;
Chaosreader
![Page 41: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/41.jpg)
./chaosreader0.94 evidence02.pcap$* is no longer supported at ./chaosreader0.94 line 265.Chaosreader ver 0.94Opening, evidence02.pcapReading file contents,100% (335144/335144)Reassembling packets,100% (539/542)Creating files...Num Session (host:port <=> host:port) Service0007 192.168.1.159:1036,64.12.102.142:587 submission0008 192.168.1.159:1038,64.12.102.142:587 submission0002 192.168.1.10:123,192.168.1.255:123 ntp0009 192.168.1.159:1025,192.168.1.30:514 syslogindex.html created.
Chaosreader
![Page 42: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/42.jpg)
Chaosreader
![Page 43: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/43.jpg)
Chaosreader
![Page 44: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/44.jpg)
Chaosreader
![Page 45: Ferramentas FOSS para Perícia Forense de Rede](https://reader033.vdocuments.net/reader033/viewer/2022042514/568bd80d1a28ab2034a1f6ab/html5/thumbnails/45.jpg)
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
E-mail - [email protected] - @proframiltonFacebook - http://www.facebook.com/ProfRamilton
Contatos: