آنالیز فایل PCAP با XPLICO

آنالیز فایل PCAP با XPLICO – ابزار فارنزیک ( Forensic ) شبکه

فارنزیک شبکه یا Network Forensic یک بخش از پرونده جرم یابی دیجیتال مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه های کامپیوتری به منظور جمع آوری اطلاعات، شواهد حقوقی یا تشخیص نفوذ است.

بر خلاف سایر حوزه های جرم یابی دیجیتال ، تحقیقات در حوزه شبکه همیشه با اطلاعات بی نظیر و پویا همراه بوده است .

در شبکه های کامپیوتری ترافیک های شبکه غالبا در فرآیند نقل و انتقالات هستند و سپس از بین می رود، بنابراین در طول فرایند نقل و انتقالات ، دادرسی های شبکه اغلب یک تحقیق حرفه ای محسوب می گردد .

مقالات دیگر در وب سایت

یک فایل PCAP چیست؟

در زمینه مدیریت شبکه کامپیوتری، (pcap (packet capture شامل یک رابط برنامه نویسی کاربردی (API) برای گرفتن ترافیک شبکه می باشد.

سیستم های یونیکس غالبا فایل pcap را در کتابخانه libpcap اجرا می کنند و سیستم های ویندوز از یک پورت libpcap معروف به WinPcap استفاده می کند.

فایل PCAP یک فایل داده ایجاد شده توسط Wireshark (قبلا Ethereal) می باشد که یک برنامه رایگان مورد استفاده برای تجزیه و تحلیل و حاوی داده های بسته شبکه ای است که در طول رکورد شدن شبکه زنده ایجاد شده است.

مورد استفاده برای ” packet sniffing” و تجزیه و تحلیل ویژگی های داده ها در شبکه است که می توان با استفاده از نرم افزار که شامل کتابخانه های libpcap یا WinPcap است، تجزیه و تحلیل کرد .

تجزیه و تحلیل فارنزیک (Forensic) در سطح متوسط

خوب، ما از یک ابزار به نام XPLICO استفاده خواهیم کرد، ابزار xplico یک منبع باز NFAT (ابزار فارنزیک (Forensic) شبکه) است، هدف از Xplico شامل استخراج داده های ترافیک اینترنت است.

به عنوان مثال :

 از یک فایل pcap ، ابزار Xplico می تواند ایمیل (پروتکل های POP، IMAP و SMTP)، تمام محتوای HTTP، هر تماس VoIP (SIP)، FTP، TFTP و غیره را استخراج می کند .

مکانیسم استفاده – فارنزیک (Forensic) شبکه

XPLICO

به مرورگر بروید و آدرس را تایپ کنید:

“http: // localhost: 9876 /” با استفاده از اعتبارنامه های زیر وارد سیستم رابط کاربری xplico شوید

“Username : xplico”
“Password : xplico”

رابط کاربری xplico

روی New Cace کلیک کنید و نام و شماره مرجع را به آن بدهید و روی ایجاد کلیک کنید.

XPlico Interface

بر روی case name کلیک کنید (مثلا: test)

ابزار XPlico

بر روی new session کلیک کنید و آن را به نام (به عنوان مثال: analysis-1 ) و بر روی create کلیک کنید

Xplico Forensic

بر روی browse کلیک کنید و فایل PCAP خود را انتخاب کنید

PCAP

پس از بارگذاری آن روی رابط xplico روی دکمه آپلود کلیک کنید

PCAP Analys

بعد از فرآیند آپلود ابزار شروع به رمزگشایی می کند

PCAP Forensic

پس از فرآیند رمزگشایی، وضعیت را همانطور که در زیر نشان داده شده دریافت خواهید کرد

 

حالا شما می توانید خلاصه ای از تجزیه و تحلیل را مشاهده کنید و همچنین در سمت چپ شما گزینه ای برای آپشن های تجزیه و تحلیل ایجاد شده است (در زیر تصویری از نمودار پیام های DNS است).

نتیجه

XPLICO – یک ابزار ساده ، آسان و کارآمد برای استفاده فارنزیک (Forensic) است و همچنین فایل ضبط بسته یا فایل PCAP را تجزیه و تحلیل جامعی میکند .

این ابزار در بسیاری از آزمایش های نفوذی لینوکس مانند KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc تست شده است .

 

تهیه کننده : سید محمد اسماعیلی

نوشته های مرتبط

COMrade

۱۲

اسفند
همه موضوعات

COMrade – اسکریپت PowerShell برای شمارش برنامه های DCOM آسیب پذیر

DCOMrade یک اسکریپت PowerShell است که می تواند برنامه های کاربردی DCOM آسیب پذیر را شمارش کند. این اسکریپت برای کار با Powershell 2.0 ساخته شده اما با نسخه های دیگر هم کار می کند. اسکریپت در حال حاضر از سیستم عامل های زیر پشتیبانی می کند (هر دو x86 و x64): مایکروسافت ویندوز ۷ مایکروسافت ویندوز […]

DLP

۱۱

اسفند
همه موضوعات

چک لیست امنیتی پیاده سازی (DLP (Data Loss Prevention

چک لیست ممیزی جلوگیری از نشت اطلاعات ( DLP ( Data Loss Prevention برای ممیزی داخلی شامل یک مجموعه خاص از سوالات است. این سوالات از الزامات استاندارد سیستم مدیریت کیفیت و همچنین قوانین مورد نیاز شرکت ها و سازمان ها گرفته شده است. کاربران کسب و کارها ، از الزامات مربوط به همه چالش هایی که راه حل های فنی[…]