Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.
В отличие от других областей
Ссылка скрыта от гостей
, сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому Что такое файл PCAP
В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.
Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной программой, которая используется для сетевого анализа; содержит сетевые пакетные данных, созданные во время захвата сети в реальном времени; используется для «наблюдения за пакетами» и анализа характеристик данных сети; могут быть проанализированы с использованием программного обеспечения, которое включает библиотеки libpcap или WinPcap.
Способ криминалистического анализа
Мы будем использовать инструмент, известный как XPLICO, который поставляется с открытым исходным кодом NFAT (Network Forensic Analysis Tool), цель Xplico - извлечь из интернет-трафика содержащиеся в нем данные приложения.
Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д.
Чтобы узнать больше о XPLICO, нажмите на эту ссылку
ПРОЦЕДУРА - Сетевая криминалистика
Откройте терминал и запустите службу xplico с помощью команды
Код:
“etc/init.d/xplico start” or “service xplico start”
Перейдите в браузер и введите следующее
Код:
url “ http://localhost:9876/ ”Следуя учетным данным, войдите в веб-интерфейс
“имя пльзовтеля: xplico”
“пароль: xplico”
Нажмите на новый пример (new case), присвойте ему имя и ссылочный номер, и нажмите «Создать».
Нажмите на имя примера (case name) (например:test)
Нажмите на новую сессию и присвойте ей имя (например: analysis-1) и нажмите «создать»
Нажмите на имя сессии (например, analysis-1)
Нажмите на «просмотреть» (browse), чтобы просмотреть файл PCAP.
После загрузки, в интерфейсе xplico нажмите кнопку «Загрузить»
После процесса загрузки инструмент начнет декодирование
После процесса декодирования, вы получите статус, как показано ниже
Теперь вы можете получить обзор анализа, а на левой панели у вас есть опция, позволяющая перейти к выполненному анализу (ниже приведен скриншот графы, состоящей из сообщений DNS).
Заключение
XPLICO - этот инструмент прост и легок в использовании, он также интенсивно анализирует файл Packet Capture – файл PCAP. Этот инструмент предварительно загружен во многие дистрибутивы Linux, которые предназначены для проведения тестирования на проникновение, такие как KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc.
Источник:
Ссылка скрыта от гостей
