Soft PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн

AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
98
714


Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap.

Инструмент отображает хосты в сети, а также всевозможные трафики, а именно, сетевой трафик, выделяет важный трафик и трафик Tor, а также потенциально вредоносный трафик

Инструмент содержит следующие компоненты:
  • Диаграмма сети (Network Diagram).
  • Устройство/детали трафика и его анализ (Device/Traffic Details and Analysis).
  • Идентификация вредоносного трафика (Malicious Traffic Identification).
  • Трафик Tor (Tor Traffic)
  • GUI – GUI c опциями, чтобы загружать файл pcap (GUI – GUI with options to upload pcap file)
Обучающее руководство – Network Forensics Tool

Инструмент захвата пакетов может быть скачан из GitHub. Инструмент дает представителям службы безопасности первоначальный глюк (glitch) для расследования

git clone
cd PcapXray
Для установки всех требований: pip install -r requirements.txt
Для запуска: python Source/main.py



Он запустит графический пользовательский интерфейс и попросит разместить файл pcap.






Чтобы продемонстрировать, мы использовали файл кампании фишинга Netflix; при помощи этого мы можем извлечь веб трафик, Tor трафик, вредоносный трафик и остальные детали трафиков.

Анализ займет некоторое время, после чего мы получим детальный отчет о коммуникации, детали Устройства и Пакетов.









Локация URL обнаружило фишинговую страницу Netflix.





IP адрес назначения 98[.]209[.]70[.]101 не отобразим во время нашего анализа, и все это выглядит так, как будто кампания завершена.

Инструмент включает в себя следующие библиотеки python

Scapy – rdpcap – чтобы читать пакеты с файла pcap
Ipwhois – чтобы получить сведения, с какого ip адреса информация предоставлена
Netaddr – чтобы проверить тип ip информации
Pillow – библиотека обработки образов
Stem – библиотека сбора консенсусных tor данных
pyGraphviz – построить график
Networkx – построить график
Matplotlib – построить график

Автор полностью доверяет Srinivas P G .

Источник:
 
Мы в соцсетях: