Page 1

Ferramentas FOSS para PerĂ­cia Forense de Rede

Ramilton Costa Gomes JĂşnior Embaixador Fedora Brasil.

License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.


Whois Ramilton Costa 1. Bacharel em Ciência da Computação – Unifenas. 2. Especialista em Segurança e Criptografia – UFF. 3. Mestrando em Informática – UFES 4. Palestrante – Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre. 5. Professor Universitário – Graduação e Pós graduação 6. Embaixador Fedora Brasil.


Definição


Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor”. (Melo, 2009, P.49)


Ferramentas FOSS


Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads. http://ngrep.sourceforge.net/


Ngrep Como usar Depurar protocolos (http, smtp, ftp); Identificar e analisar as comunicações de redes anômalas; Armazena, lê e processa arquivos PCAP


Ngrep Exemplo ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\W)|(\Wsmtp$)| \Wsmtp\W)) ######################### U 192.168.1.159:1026 -> 10.1.1.20:53 .............smtp.aol.com..... # U 10.1.1.20:53 -> 192.168.1.159:1026 .............smtp.aol.com..................smtp.cs...*..........@. f..*..........@..w.*...............*...............*..........@.N..*...... ....@....*.............2.*.............../...........dns02.ns././........ ...dns-01.


Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação; http://www.xplico.org


Xplico CaracterĂ­sticas: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, ...; Multithreading; Suporta IPv4 e IPv6.


Xplico


Xplico


Xplico


Tcpdump รštil para captura de dados durante a resposta a incidentes de seguranรงa; http://www.tcpdump.org


Tcpdump Como usar: Captura de pacotes; Anรกlise de rede em tempo real; Anรกlise de protocolos; Anรกlise por flags.


Tcpdump Exemplo: tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap


Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível; http://www.wireshark.org


Wireshark Como usar: Solucionar problemas de rede; Examinar problemas de seguraça; Depurar implementaçþes de protocolos; Aprender protocolos.


Wireshark


Wireshark


Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP; http://sourceforge.net/projects/tcpflow/


Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vårios programas; É utilizado para analisar protocolos HTTP.


Tcpflow Exemplo tcpflow -r evidence02.pcap 064.012.102.142.00587-192.168.001.159.01036 064.012.102.142.00587-192.168.001.159.01038 192.168.001.159.01036-064.012.102.142.00587 192.168.001.159.01038-064.012.102.142.00587


Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise; http://linux.die.net/man/1/tcpshow


Tcpshow Exemplo: tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34:08.112737 IP Header <Not an IPv4 datagram (ver=0)> ----------------------------------------------------------------Packet 2 Timestamp: 10:34:11.607705 IP Header <Not an IPv4 datagram (ver=0)>


Tcptrace Anรกlise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vรกrios programas populares de captura de pacotes; http://www.tcptrace.org/


Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;


Tcptrace Exemplo: tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt


Snort É um sistema de prevenção e detecção de intrusão de rede(IDS / IPS); http://www.snort.org/


Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;


Snort

sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from


Snort

cat /var/log/snort/alert [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: 7467858 4972912 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:25.403029 192.168.1.8:54379 ->


Tcpxtract Reconstruir arquivos em conex천es TCP a partir de um arquivo pcap; http://tcpxtract.sourceforge.net/


Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");


Tcpxtract tcpxtract -f evidence02.pcap Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000000.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000001.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000002.png


Tcpreplay Captura de conex천es de rede e reproduzir conex천es sniffers capturado de outro arquivo; http://tcpreplay.synfin.net/


Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que vocĂŞ classificar o trĂĄfego como cliente ou servidor;


Tcpreplay

tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets (325968 bytes) sent in 255.20 seconds Rated: 1277.3 bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets:


Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem; http://chaosreader.sourceforge.net/


Chaosreader Como usar: Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP); Relatórios imagem conteúdo de HTTP GET/POST;


Chaosreader ./chaosreader0.94 evidence02.pcap $* is no longer supported at ./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service 0007 192.168.1.159:1036,64.12.102.142:587 submission 0008 192.168.1.159:1038,64.12.102.142:587 submission 0002 192.168.1.10:123,192.168.1.255:123 ntp 0009 192.168.1.159:1025,192.168.1.30:514 syslog index.html created.


Chaosreader


Chaosreader


Chaosreader


Contatos: E-mail - ramiltoncosta@gmail.com Twitter - @proframilton Facebook - http://www.facebook.com/ProfRamilton License statement goes here. See https://fedoraproject.org/wiki/Licensing#Content_Licenses for acceptable licenses.

Ferramentas FOSS para Perícia Forense de Rede  

Palestra do Ramilton Costa Gomes Junior na Area de Software Livre da Campus Party Brasil 2013

Read more
Read more
Similar to
Popular now
Just for you