ferramentas foss para perícia forense de rede
DESCRIPTION
Palestra do Ramilton Costa Gomes Junior na Area de Software Livre da Campus Party Brasil 2013TRANSCRIPT
Perícia Forense de Rede
Ramilton Costa Gomes JúniorEmbaixador Fedora Brasil.
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
Ferramentas FOSS para
Whois Ramilton Costa
1. Bacharel em Ciência da Computação – Unifenas.
2. Especialista em Segurança e Criptografia – UFF.
3. Mestrando em Informática – UFES
4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre.
5. Professor Universitário – Graduação e Pós graduação
6. Embaixador Fedora Brasil.
Definição
A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)
Definição
Ferramentas FOSS
É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.
http://ngrep.sourceforge.net/
Ngrep
Como usar
Depurar protocolos (http, smtp, ftp);
Identificar e analisar as comunicações de redes anômalas;
Armazena, lê e processa arquivos PCAP
Ngrep
Exemplo
ngrep -w 'smtp' -I evidence02.pcap
input: evidence02.pcapmatch: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W))#########################U 192.168.1.159:1026 -> 10.1.1.20:53.............smtp.aol.com.....#U 10.1.1.20:53 -> 192.168.1.159:1026.............smtp.aol.com..................smtp.cs...*[email protected]..*[email protected].*...............*...............*[email protected]..*..........@....*.............2.*.............../...........dns02.ns././...........dns-01.
Ngrep
O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;
http://www.xplico.org
Xplico
Características:
Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...;
Multithreading;
Suporta IPv4 e IPv6.
Xplico
Xplico
Xplico
Xplico
Útil para captura de dados durante a resposta a incidentes de segurança;
http://www.tcpdump.org
Tcpdump
Como usar:
Captura de pacotes;
Análise de rede em tempo real;
Análise de protocolos;
Análise por flags.
Tcpdump
Exemplo:
tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap
Tcpdump
É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;
http://www.wireshark.org
Wireshark
Como usar:
Solucionar problemas de rede;
Examinar problemas de seguraça;
Depurar implementações de protocolos;
Aprender protocolos.
Wireshark
Wireshark
Wireshark
Capturar e reconstruir as ações realizadas através de uma rede TCP;
http://sourceforge.net/projects/tcpflow/
Tcpflow
Como usar:
Analisa pacotes IP capturado por sniffers;
Capturar dados de vários programas;
É utilizado para analisar protocolos HTTP.
Tcpflow
Exemplo
tcpflow -r evidence02.pcap
064.012.102.142.00587-192.168.001.159.01036
064.012.102.142.00587-192.168.001.159.01038
192.168.001.159.01036-064.012.102.142.00587
192.168.001.159.01038-064.012.102.142.00587
Tcpflow
Converter um arquivo em formato ASCII PCAP, útil para a análise;
http://linux.die.net/man/1/tcpshow
Tcpshow
Exemplo:tcpshow -pp -track < evidence02.pcap > arquivo.asciicat arquivo.asciiPacket 1Timestamp: 10:34:08.112737IP Header<Not an IPv4 datagram (ver=0)>-----------------------------------------------------------------Packet 2Timestamp: 10:34:11.607705IP Header<Not an IPv4 datagram (ver=0)>
Tcpshow
Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;
http://www.tcptrace.org/
Tcptrace
Como usar:
Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP;
Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output;
Conexões de filtradas;
Tcptrace
Exemplo:tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt
Tcptrace
É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS);
http://www.snort.org/
Snort
Como usar:
Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP;
Pode realizar análise de protocolo, pesquisa de conteúdo;
Snort
sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcapRunning in IDS mode--== Initializing Snort ==--Initializing Output Plugins!Initializing Preprocessors!Initializing Plug-ins!Parsing Rules file "/etc/snort/snort.conf"PortVar 'HTTP_PORTS' defined : [ 80 ]PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ]PortVar 'ORACLE_PORTS' defined : [ 1521 ]PortVar 'FTP_PORTS' defined : [ 21 ]Tagged Packet Limit: 256Loading dynamic engine/usr/lib/snort_dynamicengine/libsf_engine.so... done
Loading all dynamic preprocessor libs from
Snort
cat /var/log/snort/alert[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3TcpLen: 32TCP Options (3) => NOP NOP TS: 7467858 4972912[**] [1:100000160:2] COMMUNITY SIP TCP/IP message floodingdirected to SIP proxy [**][Classification: Attempted Denial of Service] [Priority: 2]04/24-18:45:25.403029 192.168.1.8:54379 ->
Snort
Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;
http://tcpxtract.sourceforge.net/
Tcpxtract
Como usar:
Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");
Tcpxtract
tcpxtract -f evidence02.pcap
Found file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000000.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000001.pngFound file of type "png" in session[192.168.1.159:3588 ->64.12.102.142:19202], exporting to 000002.png
Tcpxtract
Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;
http://tcpreplay.synfin.net/
Tcpreplay
Como usar:
Testar uma variedade de dispositivos de rede;
Ele permite que você classificar o tráfego como cliente ou servidor;
Tcpreplay
tcpreplay --intf1=eth0 evidence02.pcapsending out eth0processing file: evidence02.pcapWarning: Packet #420 has gone back in time!Warning: Packet #430 has gone back in time!Actual: 572 packets (325968 bytes) sent in 255.20secondsRated: 1277.3 bps, 0.01 Mbps, 2.24 ppsStatistics for network device: eth0Attempted packets:572Successful packets:
Tcpreplay
Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;
http://chaosreader.sourceforge.net/
Chaosreader
Como usar:
Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP);
Relatórios imagem conteúdo de HTTP GET/POST;
Chaosreader
./chaosreader0.94 evidence02.pcap$* is no longer supported at ./chaosreader0.94 line 265.Chaosreader ver 0.94Opening, evidence02.pcapReading file contents,100% (335144/335144)Reassembling packets,100% (539/542)Creating files...Num Session (host:port <=> host:port) Service0007 192.168.1.159:1036,64.12.102.142:587 submission0008 192.168.1.159:1038,64.12.102.142:587 submission0002 192.168.1.10:123,192.168.1.255:123 ntp0009 192.168.1.159:1025,192.168.1.30:514 syslogindex.html created.
Chaosreader
Chaosreader
Chaosreader
Chaosreader
License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.
E-mail - [email protected] - @proframiltonFacebook - http://www.facebook.com/ProfRamilton
Contatos: