Ferramentas FOSS para

Tamanho: px

Começar a partir da página:

Download "Ferramentas FOSS para"

Amélia Francisca Casqueira Lopes
9 Há anos
Visualizações:

1 Ferramentas FOSS para Perícia Forense de Rede Ramilton Costa Gomes Júnior Embaixador Fedora Brasil. License statement goes here. See for acceptable licenses.

2 Whois Ramilton Costa 1. Bacharel em Ciência da Computação Unifenas. 2. Especialista em Segurança e Criptografia UFF. 3. Mestrando em Informática UFES 4. Palestrante Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre. 5. Professor Universitário Graduação e Pós graduação 6. Embaixador Fedora Brasil.

3 Definição

4 Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor. (Melo, 2009, P.49)

5 Ferramentas FOSS

6 Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads.

7 Ngrep Como usar Depurar protocolos (http, smtp, ftp); Identificar e analisar as comunicações de redes anômalas; Armazena, lê e processa arquivos PCAP

8 Ngrep Exemplo ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\w) (\Wsmtp$) \Wsmtp\W)) ######################### U :1026 -> :53...smtp.aol.com... # U :53 -> : smtp.aol.com...smtp.cs...*...@. f..*[email protected].*...*...*[email protected]..*......@...*...2.*.../...dns02.ns././......dns-01.

9 Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação;

10 Xplico Características: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP,...; Multithreading; Suporta IPv4 e IPv6.

11 Xplico

12 Xplico

13 Xplico

14 Tcpdump Útil para captura de dados durante a resposta a incidentes de segurança;

15 Tcpdump Como usar: Captura de pacotes; Análise de rede em tempo real; Análise de protocolos; Análise por flags.

16 Tcpdump Exemplo: tcpdump -X -vvv -i eth0 -s n port 80 -w coleta.cap

17 Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível;

18 Wireshark Como usar: Solucionar problemas de rede; Examinar problemas de seguraça; Depurar implementações de protocolos; Aprender protocolos.

19 Wireshark

20 Wireshark

21 Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP;

22 Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vários programas; É utilizado para analisar protocolos HTTP.

23 Tcpflow Exemplo tcpflow -r evidence02.pcap

24 Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise;

25 Tcpshow Exemplo: tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34: IP Header <Not an IPv4 datagram (ver=0)> Packet 2 Timestamp: 10:34: IP Header <Not an IPv4 datagram (ver=0)>

26 Tcptrace Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes;

27 Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;

28 Tcptrace Exemplo: tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt

29 Snort É um sistema de prevenção e detecção de intrusão de rede(ids / IPS);

30 Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;

31 Snort sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from

32 Snort cat /var/log/snort/alert [**] [1: :2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45: :80 -> :54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: [**] [1: :2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45: : >

33 Tcpxtract Reconstruir arquivos em conexões TCP a partir de um arquivo pcap;

34 Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");

35 Tcpxtract tcpxtract -f evidence02.pcap Found file of type "png" in session [ :3588 -> :19202], exporting to png Found file of type "png" in session [ :3588 -> :19202], exporting to png Found file of type "png" in session [ :3588 -> :19202], exporting to png

36 Tcpreplay Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo;

37 Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que você classificar o tráfego como cliente ou servidor;

38 Tcpreplay tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets ( bytes) sent in seconds Rated: bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets:

39 Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem;

40 Chaosreader Como usar: Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, s SMTP); Relatórios imagem conteúdo de HTTP GET/POST;

41 Chaosreader./chaosreader0.94 evidence02.pcap $* is no longer supported at./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service :1036, :587 submission :1038, :587 submission :123, :123 ntp :1025, :514 syslog index.html created.

42 Chaosreader

43 Chaosreader

44 Chaosreader

45 Contatos: - [email protected] Twitter Facebook - License statement goes here. See for acceptable licenses.

Documentos relacionados

Ferramentas Foss para

Ferramentas Foss para Perícia Forense de Rede Ramilton Costa Gomes Júnior Embaixador Fedora Brasil. Whois Ramilton costa 1. Bacharel em Ciência da Computação UNIFENAS 2. Especialista em Segurança e Criptografia