Ferramentas FOSS para PerĂcia Forense de Rede
Ramilton Costa Gomes JĂşnior Embaixador Fedora Brasil.
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
Whois Ramilton Costa 1. Bacharel em Ciência da Computação – Unifenas. 2. Especialista em Segurança e Criptografia – UFF. 3. Mestrando em Informática – UFES 4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre. 5. Professor Universitário – Graduação e Pós graduação 6. Embaixador Fedora Brasil.
Definição
Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)
Ferramentas FOSS
Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads. http://ngrep.sourceforge.net/
Ngrep Como usar Depurar protocolos (http, smtp, ftp); Identificar e analisar as comunicações de redes anômalas; Armazena, lê e processa arquivos PCAP
Ngrep Exemplo ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W)) ######################### U 192.168.1.159:1026 -> 10.1.1.20:53 .............smtp.aol.com..... # U 10.1.1.20:53 -> 192.168.1.159:1026 .............smtp.aol.com..................smtp.cs...*..........@. f..*..........@..w.*...............*...............*..........@.N..*...... ....@....*.............2.*.............../...........dns02.ns././........ ...dns-01.
Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação; http://www.xplico.org
Xplico CaracterĂsticas: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...; Multithreading; Suporta IPv4 e IPv6.
Xplico
Xplico
Xplico
Tcpdump ร til para captura de dados durante a resposta a incidentes de seguranรงa; http://www.tcpdump.org
Tcpdump Como usar: Captura de pacotes; Anรกlise de rede em tempo real; Anรกlise de protocolos; Anรกlise por flags.
Tcpdump Exemplo: tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap
Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possĂvel; http://www.wireshark.org
Wireshark Como usar: Solucionar problemas de rede; Examinar problemas de seguraça; Depurar implementaçþes de protocolos; Aprender protocolos.
Wireshark
Wireshark
Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP; http://sourceforge.net/projects/tcpflow/
Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vårios programas; É utilizado para analisar protocolos HTTP.
Tcpflow Exemplo tcpflow -r evidence02.pcap 064.012.102.142.00587-192.168.001.159.01036 064.012.102.142.00587-192.168.001.159.01038 192.168.001.159.01036-064.012.102.142.00587 192.168.001.159.01038-064.012.102.142.00587
Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise; http://linux.die.net/man/1/tcpshow
Tcpshow Exemplo: tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34:08.112737 IP Header <Not an IPv4 datagram (ver=0)> ----------------------------------------------------------------Packet 2 Timestamp: 10:34:11.607705 IP Header <Not an IPv4 datagram (ver=0)>
Tcptrace Anรกlise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vรกrios programas populares de captura de pacotes; http://www.tcptrace.org/
Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;
Tcptrace Exemplo: tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt
Snort É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS); http://www.snort.org/
Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;
Snort
sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from
Snort
cat /var/log/snort/alert [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: 7467858 4972912 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:25.403029 192.168.1.8:54379 ->
Tcpxtract Reconstruir arquivos em conex천es TCP a partir de um arquivo pcap; http://tcpxtract.sourceforge.net/
Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");
Tcpxtract tcpxtract -f evidence02.pcap Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000000.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000001.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000002.png
Tcpreplay Captura de conex천es de rede e reproduzir conex천es sniffers capturado de outro arquivo; http://tcpreplay.synfin.net/
Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que vocĂŞ classificar o trĂĄfego como cliente ou servidor;
Tcpreplay
tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets (325968 bytes) sent in 255.20 seconds Rated: 1277.3 bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets:
Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem; http://chaosreader.sourceforge.net/
Chaosreader Como usar: Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP); Relatórios imagem conteúdo de HTTP GET/POST;
Chaosreader ./chaosreader0.94 evidence02.pcap $* is no longer supported at ./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service 0007 192.168.1.159:1036,64.12.102.142:587 submission 0008 192.168.1.159:1038,64.12.102.142:587 submission 0002 192.168.1.10:123,192.168.1.255:123 ntp 0009 192.168.1.159:1025,192.168.1.30:514 syslog index.html created.
Chaosreader
Chaosreader
Chaosreader
Contatos: E-mail - ramiltoncosta@gmail.com Twitter - @proframilton Facebook - http://www.facebook.com/ProfRamilton License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.