Perícia Forense de Rede

Ramilton Costa Gomes JúniorEmbaixador Fedora Brasil.

License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.

Ferramentas FOSS para

Whois Ramilton Costa

1. Bacharel em Ciência da Computação – Unifenas.

2. Especialista em Segurança e Criptografia – UFF.

3. Mestrando em Informática – UFES

4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre.

5. Professor Universitário – Graduação e Pós graduação

6. Embaixador Fedora Brasil.

Definição

A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)

Definição

Ferramentas FOSS

É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.

http://ngrep.sourceforge.net/

Ngrep

Como usar

Depurar protocolos (http, smtp, ftp);

Identificar e analisar as comunicações de redes anômalas;

Armazena, lê e processa arquivos PCAP

Ngrep

Exemplo

ngrep -w 'smtp' -I evidence02.pcap

input: evidence02.pcapmatch: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W))#########################U 192.168.1.159:1026 -> 10.1.1.20:53.............smtp.aol.com.....#U 10.1.1.20:53 -> 192.168.1.159:1026.............smtp.aol.com..................smtp.cs...*..........@.f..*..........@..w.*...............*...............*..........@.N..*..........@....*.............2.*.............../...........dns02.ns././...........dns-01.

Ngrep

O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;

http://www.xplico.org

Xplico

Características:

Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...;

Multithreading;

Suporta IPv4 e IPv6.

Xplico

Xplico

Xplico

Xplico

Útil para captura de dados durante a resposta a incidentes de segurança;

http://www.tcpdump.org

Tcpdump

Como usar:

Captura de pacotes;

Análise de rede em tempo real;

Análise de protocolos;

Análise por flags.

Tcpdump

Exemplo:

tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap

Tcpdump

É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;

http://www.wireshark.org

Wireshark

Como usar:

Solucionar problemas de rede;

Examinar problemas de seguraça;

Depurar implementações de protocolos;

Aprender protocolos.

Wireshark

Wireshark

Wireshark

Capturar e reconstruir as ações realizadas através de uma rede TCP;

http://sourceforge.net/projects/tcpflow/

Tcpflow

Como usar:

Analisa pacotes IP capturado por sniffers;

Capturar dados de vários programas;

É utilizado para analisar protocolos HTTP.

Tcpflow

Exemplo

tcpflow -r evidence02.pcap

064.012.102.142.00587-192.168.001.159.01036

064.012.102.142.00587-192.168.001.159.01038

192.168.001.159.01036-064.012.102.142.00587

192.168.001.159.01038-064.012.102.142.00587

Tcpflow

Converter um arquivo em formato ASCII PCAP, útil para a análise;

http://linux.die.net/man/1/tcpshow

Tcpshow

Exemplo:tcpshow -pp -track < evidence02.pcap > arquivo.asciicat arquivo.asciiPacket 1Timestamp: 10:34:08.112737IP Header<Not an IPv4 datagram (ver=0)>-----------------------------------------------------------------Packet 2Timestamp: 10:34:11.607705IP Header<Not an IPv4 datagram (ver=0)>

Tcpshow

Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;

http://www.tcptrace.org/

Tcptrace

Como usar:

Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP;

Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output;

Conexões de filtradas;

Tcptrace

Exemplo:tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt

Tcptrace

É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS);

http://www.snort.org/

Snort

Como usar:

Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP;

Pode realizar análise de protocolo, pesquisa de conteúdo;

Snort

sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcapRunning in IDS mode--== Initializing Snort ==--Initializing Output Plugins!Initializing Preprocessors!Initializing Plug-ins!Parsing Rules file "/etc/snort/snort.conf"PortVar 'HTTP_PORTS' defined : [ 80 ]PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]PortVar 'ORACLE_PORTS' defined : [ 1521 ]PortVar 'FTP_PORTS' defined : [ 21 ]Tagged Packet Limit: 256Loading dynamic engine/usr/lib/snort_dynamicengine/libsf_engine.so... done

Loading all dynamic preprocessor libs from

Snort

cat /var/log/snort/alert[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3TcpLen: 32TCP Options (3) => NOP NOP TS: 7467858 4972912[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:25.403029 192.168.1.8:54379 ->

Snort

Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;

http://tcpxtract.sourceforge.net/

Tcpxtract

Como usar:

Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");

Tcpxtract

tcpxtract -f evidence02.pcap

Found file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000000.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000001.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000002.png

Tcpxtract

Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;

http://tcpreplay.synfin.net/

Tcpreplay

Como usar:

Testar uma variedade de dispositivos de rede;

Ele permite que você classificar o tráfego como cliente ou servidor;

Tcpreplay

tcpreplay --intf1=eth0 evidence02.pcapsending out eth0processing file: evidence02.pcapWarning: Packet #420 has gone back in time!Warning: Packet #430 has gone back in time!Actual: 572 packets (325968 bytes) sent in 255.20secondsRated: 1277.3 bps, 0.01 Mbps, 2.24 ppsStatistics for network device: eth0Attempted packets:572Successful packets:

Tcpreplay

Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;

http://chaosreader.sourceforge.net/

Chaosreader

Como usar:

Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP);

Relatórios imagem conteúdo de HTTP GET/POST;

Chaosreader

./chaosreader0.94 evidence02.pcap$* is no longer supported at ./chaosreader0.94 line 265.Chaosreader ver 0.94Opening, evidence02.pcapReading file contents,100% (335144/335144)Reassembling packets,100% (539/542)Creating files...Num Session (host:port <=> host:port) Service0007 192.168.1.159:1036,64.12.102.142:587 submission0008 192.168.1.159:1038,64.12.102.142:587 submission0002 192.168.1.10:123,192.168.1.255:123 ntp0009 192.168.1.159:1025,192.168.1.30:514 syslogindex.html created.

Chaosreader

Chaosreader

Chaosreader

Chaosreader

License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.

E-mail - ramiltoncosta@gmail.comTwitter - @proframiltonFacebook - http://www.facebook.com/ProfRamilton

Contatos: