Ferramentas Foss para

Ferramentas Foss para Perícia Forense de Rede Ramilton Costa Gomes Júnior Embaixador Fedora Brasil.

Whois Ramilton costa 1. Bacharel em Ciência da Computação UNIFENAS 2. Especialista em Segurança e Criptografia - UFF 3. Mestrando em Informática - UFES 4. Palestrante Latinoware, EML, Ensolba, Encatec, Colem; 5. Professor Universitário Graduação e Pósgraduação 6. Embaixador do Fedora Brasil.

Definição

Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor. (Melo, 2009, P.49)

Ferramentas FOSS

Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads. http://ngrep.sourceforge.net/

Ngrep Como usar: Depurar protocolos, como HTTP, SMTP, FTP; Identificar e analisar as comunicações de rede anômalas; Armazena, ler e reprocessar arquivos pcap.

Ngrep Exemplo: ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\w) (\Wsmtp$) (\Wsmtp\W)) ################################ U 192.168.1.159:1026 -> 10.1.1.20:53...smtp.aol.com... # U 10.1.1.20:53 -> 192.168.1.159:1026...smtp.aol.com...smtp.cs...*...@.f..*......@..w.*...*...*...@.N..*...@...*...2.*.../...dns-02.ns././...dns-01.

Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação; http://www.xplico.org/

Xplico Características: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, ; Multithreading; Suporta IPv4 e IPv6;

Tcpdump Tcpdump Útil para captura de dados durante a resposta a incidentes de segurança; http://www.tcpdump.org

Tcpdump Como usar: Captura de pacotes; Análise de rede em tempo real; Análise de protocolos; Análise por flags;

Tcpdump Exemplo: Capturando todo o trafego que passa pela placa de rede eth0 e porta 80. Na sequencia grava no arquivo coleta.cap tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap

Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível; http://www.wireshark.org/

Wireshark Como usar: Administradores de rede utilizam para solucionar problemas de rede; Engenheiros de segurança de rede usá-lo para examinar os problemas de segurança; Desenvolvedores usa para depurar implementações do protocolo; As pessoas usam para aprender protocolo de rede.

Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP; http://sourceforge.net/projects/tcpflow/

Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vários programas; É utilizado para analisar protocolos HTTP.

Tcpflow tcpflow -r evidence02.pcap 064.012.102.142.00587-192.168.001.159.01036 064.012.102.142.00587-192.168.001.159.01038 192.168.001.159.01036-064.012.102.142.00587 192.168.001.159.01038-064.012.102.142.00587

Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise;

Tcpshow tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34:08.112737 IP Header <Not an IPv4 datagram (ver=0)> ----------------------------------------------------------------Packet 2 Timestamp: 10:34:11.607705 IP Header <Not an IPv4 datagram (ver=0)>

Tcptrace Análise de arquivos TCP Dump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes; http://www.tcptrace.org/

Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;

Tcptrace tcptrace -q -xcollie estudo_de_caso.pcap > sessao.txt

Snort É um sistema de prevenção e detecção de intrusão de rede(ids / IPS); http://www.snort.org/

Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;

Snort sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from /usr/lib/snort_dynamicpreprocessor/... Loading dynamic preprocessor library /usr/lib/snort_dynamicpreprocessor//libsf_dns_preproc.so... done

Snort cat /var/log/snort/alert [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: 7467858 4972912 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:25.403029 192.168.1.8:54379 -> 187.17.67.226:80 TCP TTL:64 TOS:0x0 ID:44640 IpLen:20 DgmLen:64 DF ***A**** Seq: 0xE162F3E1 Ack: 0x41E00D18 Win: 0x57 TcpLen: 44 TCP Options (6) => NOP NOP TS: 4974874 7467935 NOP NOP Sack: 16864@1592

Tcpxtract Reconstruir arquivos em conexões TCP a partir de um arquivo pcap; http://tcpxtract.sourceforge.net/

Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");

Tcpxtract sudo tcpxtract -f evidence02.pcap Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 00000000.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 00000001.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 00000002.png

Tcpreplay Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo; http://tcpreplay.synfin.net/

Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que você classificar o tráfego como cliente ou servidor;

Tcpreplay sudo tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets (325968 bytes) sent in 255.20 seconds Rated: 1277.3 bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets: 572 Failed packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0

Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem; http://chaosreader.sourceforge.net/

Chaosreader Como usar: Ele busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP); Relatórios imagem conteúdo de HTTP GET/POST;

Chaosreader sudo./chaosreader0.94 evidence02.pcap $* is no longer supported at./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service 0007 192.168.1.159:1036,64.12.102.142:587 submission 0008 192.168.1.159:1038,64.12.102.142:587 submission 0002 192.168.1.10:123,192.168.1.255:123 ntp 0009 192.168.1.159:1025,192.168.1.30:514 syslog 0001 192.168.1.10:52111,192.168.1.30:514 syslog 0006 192.168.1.159:1026,10.1.1.20:53 domain 0005 192.168.1.10:123,192.168.1.30:123 ntp 0004 192.168.1.159:137,192.168.1.255:137 netbios-ns 0003 192.168.1.159:138,192.168.1.255:138 netbios-dgm index.html created.

Contatos: E-mail ramiltoncosta@gmail.com Twitter @proframilton Facebook - http://www.facebook.com/proframilton