Ferramentas FOSS para

Documentos relacionados
Ferramentas Foss para

Ricardo Kléber M. Galvão. Novatec

Redes de Computadores LTI

Aula Prática de Redes Industriais Wireshark

Modelo OSI x Modelo TCP/IP

Análise e Captura de Tráfego com Wireshark

Forense em Rede com Wireshark.

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Protocolos de Rede. Protocolos em camadas

Modelo de Referência OSI

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

REDES DE COMPUTADORES

Programação TCP/IP. Protocolos TCP e UDP

Camada de Aplicação Protocolo FTP e Correio Eletrônico

Camada de Transporte Protocolos TCP e UDP

Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para

INFO ARQ REDES. Prova 2 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Protocolo ICMP Internet Control Message Protocol. Introdução ao Protocolo ICMP. Introdução ao Protocolo ICMP. Introdução ao Protocolo ICMP

Redes de Computadores. Protocolos TCP/IP

Redes TCP-IP. Protocolo ICMP. Pilha TCP/IP. Protocolo ICMP Internet Control Message Protocol. Introdução ao Protocolo ICMP

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

Laboratório Usando Wireshark para Examinar Quadros Ethernet

Lista de exercícios - 1º bimestre 2016 REDES

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

Arquitetura de Rede. Universidade Católica de Pelotas Curso de Engenharia da Computação Disciplina: Redes de Computadores I

TRABALHO PRÁTICO WIRESHARK

Prof. Marcelo Cunha Parte 6

Camada de Aplicação da Arquitetura TCP/IP

Protocolos e Serviços de Redes

Prof. Marcos Monteiro.

Análise de tráfego em redes TCP/IP com tcpdump

FUNDAMENTOS DE REDES DE COMPUTADORES. Lista de Exercícios AV2-01. Luiz Leão

Redes de Computadores

Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES

REVISÃO - Questões de Redes em Concursos. Semestre: 2 Bimestre:2 Data: / / 2013

Transferência de Arquivo: Protocolo FTP

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

P L A N O D E D I S C I P L I N A

Capturas de pacote de informação ASA com CLI e exemplo da configuração ASDM

EXERCÍCIOS - PESQUISA SOBRE IPV6

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

CCT0298 ANALISE DE REDES Aula : Trafego HTTP

Funcionalidade e Protocolos da Camada de Aplicação

Redes de Computadores e a Internet

Níkolas Timóteo Paulino da Silva Redes de Computadores I ADS 2ºTermo

Firewall. Prof. Marciano dos Santos Dionizio

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

Laboratório Uso do Wireshark para examinar quadros Ethernet

IDS - Implementando o SNORT Open Source

Redes TCP/IP Formato Datagrama IP

Laboratório - Uso do Wireshark para observar o handshake triplo do TCP

Teleprocessamento e Redes

Sumário Tratado de Computação Forense

Redes de Computadores

PTC Aula Web e HTTP 2.3 Correio eletrônico na Internet 2.4 DNS O serviço de diretório da Internet

X.25 para conversão de TCP

Resumo P2. Internet e Arquitetura TCP/IP

NetFlow para clientes do POP-RS

PTC Exercício Programa GABARITO

Modelo de Referência TCP/IP

Introdução Modelo OSI Sistemas de firewall Bridge x roteamento Atuação de um IPS Funcionamento do Hogwash Instalação do Hogwash Configuração do

Firewall - Inspeção com estado. (Stateful Inspection)

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

Redes de Computadores

METODOLOGIAS ÁGEIS DE DESENVOLVIMENTO DE SOFTWARE

Redes de Computadores. Laboratório de Interconexão de Redes e Serviços - 4º Período


Padrões (arquiteturas) de rede

Data and Computer Network Endereçamento IP

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

CST em Redes de Computadores

Redes de Computadores. Prof. André Y. Kusumoto

Protocolos e Serviços de Redes

Ferramentas para visualizar a saída do IDS

UNIVERSIDADE FEDERAL DO PIAUÍ COLÉGIO TÉCNICO DE TERESINA-TÉCNICO EM INFORMÁTICA DISCIPLINA: REDES DE COMPUTADORES I PROFESSOR: Valdemir Junior

Data Carving em Mídias e em Redes. Ricardo Kléber Martins Galvão

Chris Sanders. Novatec

Criando um IDS com resposta ativa com OSSEC / Snort

Transcrição:

Ferramentas FOSS para Perícia Forense de Rede Ramilton Costa Gomes Júnior Embaixador Fedora Brasil. License statement goes here. See https://fedoraproject.org/wiki/licensing#content_licenses for acceptable licenses.

Whois Ramilton Costa 1. Bacharel em Ciência da Computação Unifenas. 2. Especialista em Segurança e Criptografia UFF. 3. Mestrando em Informática UFES 4. Palestrante Latinoware, EMSL, Ensolba, Encatec, Colem, Forum Espirito Livre. 5. Professor Universitário Graduação e Pós graduação 6. Embaixador Fedora Brasil.

Definição

Definição A Forense de Rede pode ser compreendida como a ação do Perito em coletar dados dos demais ativos de redes envolvidos como um incidente de Segurança para que, durante a Post Mortem Análise, esses dados correlacionados com demais evidências coletadas na Live Análise, sejam argumentos de apoio a conclusão quanto à ação do invasor. (Melo, 2009, P.49)

Ferramentas FOSS

Ngrep É uma ferramenta pcap-aware que permitirá que você especificar expressões regulares estendidas ou hexadecimal para pacotes de dados payloads. http://ngrep.sourceforge.net/

Ngrep Como usar Depurar protocolos (http, smtp, ftp); Identificar e analisar as comunicações de redes anômalas; Armazena, lê e processa arquivos PCAP

Ngrep Exemplo ngrep -w 'smtp' -I evidence02.pcap input: evidence02.pcap match: ((^smtp\w) (\Wsmtp$) \Wsmtp\W)) ######################### U 192.168.1.159:1026 -> 10.1.1.20:53...smtp.aol.com... # U 10.1.1.20:53 -> 192.168.1.159:1026...smtp.aol.com...smtp.cs...*...@. f..*...@..w.*...*...*...@.n..*......@...*...2.*.../...dns02.ns././......dns-01.

Xplico O objetivo do Xplico é extrair de um tráfego de rede dados capturados de uma aplicação; http://www.xplico.org

Xplico Características: Suporta protocolos: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP,...; Multithreading; Suporta IPv4 e IPv6.

Xplico

Xplico

Xplico

Tcpdump Útil para captura de dados durante a resposta a incidentes de segurança; http://www.tcpdump.org

Tcpdump Como usar: Captura de pacotes; Análise de rede em tempo real; Análise de protocolos; Análise por flags.

Tcpdump Exemplo: tcpdump -X -vvv -i eth0 -s 1518 -n port 80 -w coleta.cap

Wireshark É um analisador de pacotes de rede. Captura pacotes da rede e tenta mostrar os dados do pacote o mais detalhado possível; http://www.wireshark.org

Wireshark Como usar: Solucionar problemas de rede; Examinar problemas de seguraça; Depurar implementações de protocolos; Aprender protocolos.

Wireshark

Wireshark

Tcpflow Capturar e reconstruir as ações realizadas através de uma rede TCP; http://sourceforge.net/projects/tcpflow/

Tcpflow Como usar: Analisa pacotes IP capturado por sniffers; Capturar dados de vários programas; É utilizado para analisar protocolos HTTP.

Tcpflow Exemplo tcpflow -r evidence02.pcap 064.012.102.142.00587-192.168.001.159.01036 064.012.102.142.00587-192.168.001.159.01038 192.168.001.159.01036-064.012.102.142.00587 192.168.001.159.01038-064.012.102.142.00587

Tcpshow Converter um arquivo em formato ASCII PCAP, útil para a análise; http://linux.die.net/man/1/tcpshow

Tcpshow Exemplo: tcpshow -pp -track < evidence02.pcap > arquivo.ascii cat arquivo.ascii Packet 1 Timestamp: 10:34:08.112737 IP Header <Not an IPv4 datagram (ver=0)> ----------------------------------------------------------------Packet 2 Timestamp: 10:34:11.607705 IP Header <Not an IPv4 datagram (ver=0)>

Tcptrace Análise de arquivos TCPDump. Pode ter como entrada os arquivos produzidos por vários programas populares de captura de pacotes; http://www.tcptrace.org/

Tcptrace Como usar: Pode gerar seis tipos diferentes de gráficos que ilustram vários parâmetros de uma conexão TCP; Pode produzir estatísticas detalhadas de conexões TCP de arquivos dump quando dada a opção -l ou a opção output; Conexões de filtradas;

Tcptrace Exemplo: tcptrace -q -xcollie estudo_de_caso.pcap > inicio_sessao.txt

Snort É um sistema de prevenção e detecção de intrusão de rede(ids / IPS); http://www.snort.org/

Snort Como usar: Capaz de executar em tempo real, análise de tráfego e registro de pacotes em redes IP; Pode realizar análise de protocolo, pesquisa de conteúdo;

Snort sudo snort -vde -c /etc/snort/snort.conf -r evidence02.pcap Running in IDS mode --== Initializing Snort ==-Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80 ] PortVar 'SHELLCODE_PORTS' defined : [ 0:79 81:65535 ] PortVar 'ORACLE_PORTS' defined : [ 1521 ] PortVar 'FTP_PORTS' defined : [ 21 ] Tagged Packet Limit: 256 Loading dynamic engine /usr/lib/snort_dynamicengine/libsf_engine.so... done Loading all dynamic preprocessor libs from

Snort cat /var/log/snort/alert [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:17.627321 187.17.67.226:80 -> 192.168.1.8:54379 TCP TTL:117 TOS:0x0 ID:18757 IpLen:20 DgmLen:576 ***A**** Seq: 0x41DFBA2C Ack: 0xE162F3E1 Win: 0xFEB3 TcpLen: 32 TCP Options (3) => NOP NOP TS: 7467858 4972912 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] 04/24-18:45:25.403029 192.168.1.8:54379 ->

Tcpxtract Reconstruir arquivos em conexões TCP a partir de um arquivo pcap; http://tcpxtract.sourceforge.net/

Tcpxtract Como usar: Extração de arquivos com base em cabeçalhos e rodapés de tipo de arquivo (por vezes chamado de "carving");

Tcpxtract tcpxtract -f evidence02.pcap Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000000.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000001.png Found file of type "png" in session [192.168.1.159:3588 -> 64.12.102.142:19202], exporting to 000002.png

Tcpreplay Captura de conexões de rede e reproduzir conexões sniffers capturado de outro arquivo; http://tcpreplay.synfin.net/

Tcpreplay Como usar: Testar uma variedade de dispositivos de rede; Ele permite que você classificar o tráfego como cliente ou servidor;

Tcpreplay tcpreplay --intf1=eth0 evidence02.pcap sending out eth0 processing file: evidence02.pcap Warning: Packet #420 has gone back in time! Warning: Packet #430 has gone back in time! Actual: 572 packets (325968 bytes) sent in 255.20 seconds Rated: 1277.3 bps, 0.01 Mbps, 2.24 pps Statistics for network device: eth0 Attempted packets: 572 Successful packets:

Chaosreader Script Perl que processa informações de arquivos PCAP, reconstrução de sessões TCP e recupera arquivos de imagem; http://chaosreader.sourceforge.net/

Chaosreader Como usar: Busca sessões telnet, arquivos FTP, HTTP transferências (HTML, GIF, JPEG, e-mails SMTP); Relatórios imagem conteúdo de HTTP GET/POST;

Chaosreader./chaosreader0.94 evidence02.pcap $* is no longer supported at./chaosreader0.94 line 265. Chaosreader ver 0.94 Opening, evidence02.pcap Reading file contents, 100% (335144/335144) Reassembling packets, 100% (539/542) Creating files... Num Session (host:port <=> host:port) Service 0007 192.168.1.159:1036,64.12.102.142:587 submission 0008 192.168.1.159:1038,64.12.102.142:587 submission 0002 192.168.1.10:123,192.168.1.255:123 ntp 0009 192.168.1.159:1025,192.168.1.30:514 syslog index.html created.

Chaosreader

Chaosreader

Chaosreader

Contatos: E-mail - ramiltoncosta@gmail.com Twitter - @proframilton Facebook - http://www.facebook.com/proframilton License statement goes here. See https://fedoraproject.org/wiki/licensing#content_licenses for acceptable licenses.

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback