A análise forense de rede é um sub-ramo da análise forense digital relacionada ao monitoramento e análise do tráfego de redes de computadores para fins de coleta de informações, evidências legais ou detecção de intrusões.
Ao contrário de outras áreas de forense digital, as investigações de rede lidam com informações voláteis e dinâmicas. O tráfego de rede é transmitido e depois perdido, então análise forense de rede muitas vezes é uma investigação proativa.
O que é arquivo PCAP?
No campo da administração de redes de computadores, pcap (captura de pacotes) consiste em uma interface de programação de aplicativos (API) para capturar o tráfego de rede.
Sistemas do tipo Unix implementam pcap na biblioteca libpcap; Windows usa uma porta do libpcap conhecida como WinPcap.
É um arquivo de dados criado pelo Wireshark (anteriormente Ethereal), um programa gratuito usado para análise de rede; contém dados de pacotes de rede criados durante uma captura de rede em tempo real; usado para “sniffing de pacotes” e análise de características de redes de dados; pode ser analisado usando software que inclui as bibliotecas libpcap ou WinPcap
Meio de análise forense
Bom, usaremos uma ferramenta conhecida como Xplico, xplico é um NFAT (Network Forensic Analysis Tool) de código aberto, o objetivo do Xplico é extrair de uma captura de tráfego da internet os dados contidos na aplicação.
Deve ler Tutoriais completos do Kali Tools, desde coleta de informações até análise forense
Por exemplo, de um arquivo pcap o Xplico extrai cada e-mail (protocolos POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada VoIP (SIP), FTP, TFTP e assim por diante
Para saber mais sobre a ferramenta XPLICO clique aqui
Procedimento – Análise Forense de Rede
- Abra o terminal e inicie o serviço xplico pelo comando “etc/init.d/xplico start” ou “service xplico start”
- Vá para o navegador e digite a seguinte URL “ http://localhost:9876/ ”Com as seguintes credenciais, faça login na interface web do xplico
“Nome de usuário: xplico”
“Senha: xplico”
- Clique no novo caso e dê um nome e um número de referência e clique em Criar.
- Clique no nome do caso (por exemplo: teste)
- Clique em uma nova sessão e dê um nome a ela (por exemplo: análise-1) e clique em criar
- Clique no nome da sessão (por exemplo, análise-1)
- Clique em navegar e procure seu arquivo PCAP
- Após carregá-lo na interface xplico clique no botão upload
- Após o processo de upload, a ferramenta começará a decodificar
- Após o processo de decodificação, você obterá o status conforme mostrado abaixo
- Agora você pode obter a visão geral da análise e no painel esquerdo terá a opção de navegar até a análise realizada (abaixo está a captura de tela do gráfico de mensagens DNS).
Conclusão
XPLICO – Esta ferramenta é simples e fácil de usar e também faz uma análise intensa do arquivo Packet Capture –PCAP. Esta ferramenta é pré-carregada em muitas penetrações testando sabores de Linux, como KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox , Pentoo etc.
Fonte e créditos
Este artigo foi fornecido a www.gbhackers.com por Shankara Narayanan Co-Líder do Hackers Day, um estudante da Tamil Nadu Dr.
