• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Статья Инструкция по анализу файла PCAP с помощью XPLICO - инструмента криминалистического сетевого анализа

XPLICO-Network-Analysis.jpg



Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.

В отличие от других областей , сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому link removed часто является активным исследованием.

Что такое файл PCAP

В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.

Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной программой, которая используется для сетевого анализа; содержит сетевые пакетные данных, созданные во время захвата сети в реальном времени; используется для «наблюдения за пакетами» и анализа характеристик данных сети; могут быть проанализированы с использованием программного обеспечения, которое включает библиотеки libpcap или WinPcap.

Способ криминалистического анализа

Мы будем использовать инструмент, известный как XPLICO, который поставляется с открытым исходным кодом NFAT (Network Forensic Analysis Tool), цель Xplico - извлечь из интернет-трафика содержащиеся в нем данные приложения.

Например, из файла pcap Xplico извлекает каждый адрес электронной почты (протоколы POP, IMAP и SMTP), все содержимое HTTP, каждый VoIP-вызов (SIP), FTP, TFTP и т. д.

Чтобы узнать больше о XPLICO, нажмите на эту ссылку

ПРОЦЕДУРА - Сетевая криминалистика

Откройте терминал и запустите службу xplico с помощью команды

Код:
“etc/init.d/xplico start” or “service xplico start”

NFAT-1.jpg


Перейдите в браузер и введите следующее

Код:
url “ http://localhost:9876/ ”

Следуя учетным данным, войдите в веб-интерфейс

“имя пльзовтеля: xplico”
“пароль: xplico”


NFAT-2.jpg



Нажмите на новый пример (new case), присвойте ему имя и ссылочный номер, и нажмите «Создать».

NFAT-3.jpg




Нажмите на имя примера (case name) (например:test)

NFAT-4.jpg



Нажмите на новую сессию и присвойте ей имя (например: analysis-1) и нажмите «создать»

NFAT-5.jpg



Нажмите на имя сессии (например, analysis-1)

NFAT-6.jpg



Нажмите на «просмотреть» (browse), чтобы просмотреть файл PCAP.


NFAT-7.jpg



После загрузки, в интерфейсе xplico нажмите кнопку «Загрузить»

NFAT-8.jpg



После процесса загрузки инструмент начнет декодирование

NFAT-9.jpg



После процесса декодирования, вы получите статус, как показано ниже

NFAT-10.jpg


Теперь вы можете получить обзор анализа, а на левой панели у вас есть опция, позволяющая перейти к выполненному анализу (ниже приведен скриншот графы, состоящей из сообщений DNS).

NFAT-11.jpg


Заключение

XPLICO - этот инструмент прост и легок в использовании, он также интенсивно анализирует файл Packet Capture – файл PCAP. Этот инструмент предварительно загружен во многие дистрибутивы Linux, которые предназначены для проведения тестирования на проникновение, такие как KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc.

Источник:
 

Idea

Green Team
29.11.2020
46
5
BIT
0
Здравствуйте. Есть проблема...
Kali 2020.4 Когда запускаю localhost:9876, то выпадает ошибка Error: An Internal Error Occured.
И нет формы для логина.

В /opt/xplico/xi/app/tmp/logs/error.log указывает на ошибку в синтаксисе запроса. (скриншот)
Screenshot_2020-11-30_17_40_37.png
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!