Статья Инструкция по анализу файла PCAP с помощью XPLICO - инструмента криминалистического сетевого анализа

  • Автор темы AnnaDavydova
  • Дата начала
  • Теги
    xplico
AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
98
714



Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.

В отличие от других областей , сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому link removed часто является активным исследованием.

Что такое файл PCAP

В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.

Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной программой, которая используется для сетевого анализа; содержит сетевые пакетные данных, созданные во время захвата сети в реальном времени; используется для «наблюдения за пакетами» и анализа характеристик данных сети; могут быть проанализированы с использованием программного обеспечения, которое включает библиотеки libpcap или WinPcap.

Способ криминалистического анализа

Мы будем использовать инструмент, известный как XPLICO, который поставляется с открытым исходным кодом NFAT (Network Forensic Analysis Tool), цель Xplico - извлечь из интернет-трафика содержащиеся в нем данные приложения.

Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д.

Чтобы узнать больше о XPLICO, нажмите на эту ссылку

ПРОЦЕДУРА - Сетевая криминалистика

Откройте терминал и запустите службу xplico с помощью команды

Код:
“etc/init.d/xplico start” or “service xplico start”


Перейдите в браузер и введите следующее

Код:
url “ http://localhost:9876/ ”
Следуя учетным данным, войдите в веб-интерфейс

“имя пльзовтеля: xplico”
“пароль: xplico”





Нажмите на новый пример (new case), присвойте ему имя и ссылочный номер, и нажмите «Создать».





Нажмите на имя примера (case name) (например:test)




Нажмите на новую сессию и присвойте ей имя (например: analysis-1) и нажмите «создать»




Нажмите на имя сессии (например, analysis-1)




Нажмите на «просмотреть» (browse), чтобы просмотреть файл PCAP.





После загрузки, в интерфейсе xplico нажмите кнопку «Загрузить»




После процесса загрузки инструмент начнет декодирование




После процесса декодирования, вы получите статус, как показано ниже



Теперь вы можете получить обзор анализа, а на левой панели у вас есть опция, позволяющая перейти к выполненному анализу (ниже приведен скриншот графы, состоящей из сообщений DNS).



Заключение

XPLICO - этот инструмент прост и легок в использовании, он также интенсивно анализирует файл Packet Capture – файл PCAP. Этот инструмент предварительно загружен во многие дистрибутивы Linux, которые предназначены для проведения тестирования на проникновение, такие как KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc.

Источник:
 
Мы в соцсетях: