![XPLICO-Network-Analysis.jpg](/proxy.php?image=https%3A%2F%2Fi0.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FXPLICO-Network-Analysis.jpg%3Fresize%3D684%252C458%26ssl%3D1&hash=c757edb84fb5032e2c2abe70e50635b7)
Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.
В отличие от других областей
Ссылка скрыта от гостей
, сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому Что такое файл PCAP
В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.
Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной программой, которая используется для сетевого анализа; содержит сетевые пакетные данных, созданные во время захвата сети в реальном времени; используется для «наблюдения за пакетами» и анализа характеристик данных сети; могут быть проанализированы с использованием программного обеспечения, которое включает библиотеки libpcap или WinPcap.
Способ криминалистического анализа
Мы будем использовать инструмент, известный как XPLICO, который поставляется с открытым исходным кодом NFAT (Network Forensic Analysis Tool), цель Xplico - извлечь из интернет-трафика содержащиеся в нем данные приложения.
Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д.
Чтобы узнать больше о XPLICO, нажмите на эту ссылку
ПРОЦЕДУРА - Сетевая криминалистика
Откройте терминал и запустите службу xplico с помощью команды
Код:
“etc/init.d/xplico start” or “service xplico start”
![NFAT-1.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-1.jpg%3Fresize%3D539%252C91%26ssl%3D1&hash=8809a7d98676ce23f40ca12c2319cb90)
Перейдите в браузер и введите следующее
Код:
url “ http://localhost:9876/ ”
Следуя учетным данным, войдите в веб-интерфейс
“имя пльзовтеля: xplico”
“пароль: xplico”
![NFAT-2.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-2.jpg%3Fresize%3D696%252C416%26ssl%3D1&hash=49667507b144e9629dfcf068312e24e3)
Нажмите на новый пример (new case), присвойте ему имя и ссылочный номер, и нажмите «Создать».
![NFAT-3.jpg](/proxy.php?image=https%3A%2F%2Fi1.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-3.jpg%3Fresize%3D696%252C286%26ssl%3D1&hash=d23394a3906319601d2518705df2c4bc)
Нажмите на имя примера (case name) (например:test)
![NFAT-4.jpg](/proxy.php?image=https%3A%2F%2Fi1.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-4.jpg%3Fresize%3D696%252C285%26ssl%3D1&hash=a797a8822532bdc2d42d052ead473036)
Нажмите на новую сессию и присвойте ей имя (например: analysis-1) и нажмите «создать»
![NFAT-5.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-5.jpg%3Fresize%3D696%252C288%26ssl%3D1&hash=30f15c0b9a6d3d9fb8f2b203c4c29e27)
Нажмите на имя сессии (например, analysis-1)
![NFAT-6.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-6.jpg%3Fresize%3D696%252C286%26ssl%3D1&hash=2b76b43f80b686986479b11351f51b3a)
Нажмите на «просмотреть» (browse), чтобы просмотреть файл PCAP.
![NFAT-7.jpg](/proxy.php?image=https%3A%2F%2Fi1.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-7.jpg%3Fresize%3D696%252C381%26ssl%3D1&hash=bad254a9656fb6080e2a2b734e470e74)
После загрузки, в интерфейсе xplico нажмите кнопку «Загрузить»
![NFAT-8.jpg](/proxy.php?image=https%3A%2F%2Fi1.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-8.jpg%3Fresize%3D332%252C157%26ssl%3D1&hash=81b1b2af308fbf4ed0e145e315526355)
После процесса загрузки инструмент начнет декодирование
![NFAT-9.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-9.jpg%3Fresize%3D495%252C220%26ssl%3D1&hash=94cc0b99f7990e20ca2fb7f09604486d)
После процесса декодирования, вы получите статус, как показано ниже
![NFAT-10.jpg](/proxy.php?image=https%3A%2F%2Fi1.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-10.jpg%3Fresize%3D345%252C179%26ssl%3D1&hash=92fd234fb4595bddf6f10b07cda6b633)
Теперь вы можете получить обзор анализа, а на левой панели у вас есть опция, позволяющая перейти к выполненному анализу (ниже приведен скриншот графы, состоящей из сообщений DNS).
![NFAT-11.jpg](/proxy.php?image=https%3A%2F%2Fi2.wp.com%2Fgbhackers.com%2Fwp-content%2Fuploads%2F2017%2F11%2FNFAT-11.jpg%3Fresize%3D696%252C446%26ssl%3D1&hash=0d1e78e089300456dec03b1c910df5dd)
Заключение
XPLICO - этот инструмент прост и легок в использовании, он также интенсивно анализирует файл Packet Capture – файл PCAP. Этот инструмент предварительно загружен во многие дистрибутивы Linux, которые предназначены для проведения тестирования на проникновение, такие как KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc.
Источник:
Ссылка скрыта от гостей