آنالیز فایل PCAP با XPLICO

آنالیز فایل PCAP با XPLICO – ابزار فارنزیک ( Forensic ) شبکه

فارنزیک شبکه یا Network Forensic یک بخش از پرونده جرم یابی دیجیتال مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه های کامپیوتری به منظور جمع آوری اطلاعات، شواهد حقوقی یا تشخیص نفوذ است.

بر خلاف سایر حوزه های جرم یابی دیجیتال ، تحقیقات در حوزه شبکه همیشه با اطلاعات بی نظیر و پویا همراه بوده است .

در شبکه های کامپیوتری ترافیک های شبکه غالبا در فرآیند نقل و انتقالات هستند و سپس از بین می رود، بنابراین در طول فرایند نقل و انتقالات ، دادرسی های شبکه اغلب یک تحقیق حرفه ای محسوب می گردد .

مقالات دیگر در وب سایت

یک فایل PCAP چیست؟

در زمینه مدیریت شبکه کامپیوتری، (pcap (packet capture شامل یک رابط برنامه نویسی کاربردی (API) برای گرفتن ترافیک شبکه می باشد.

سیستم های یونیکس غالبا فایل pcap را در کتابخانه libpcap اجرا می کنند و سیستم های ویندوز از یک پورت libpcap معروف به WinPcap استفاده می کند.

فایل PCAP یک فایل داده ایجاد شده توسط Wireshark (قبلا Ethereal) می باشد که یک برنامه رایگان مورد استفاده برای تجزیه و تحلیل و حاوی داده های بسته شبکه ای است که در طول رکورد شدن شبکه زنده ایجاد شده است.

مورد استفاده برای ” packet sniffing” و تجزیه و تحلیل ویژگی های داده ها در شبکه است که می توان با استفاده از نرم افزار که شامل کتابخانه های libpcap یا WinPcap است، تجزیه و تحلیل کرد .

تجزیه و تحلیل فارنزیک (Forensic) در سطح متوسط

خوب، ما از یک ابزار به نام XPLICO استفاده خواهیم کرد، ابزار xplico یک منبع باز NFAT (ابزار فارنزیک (Forensic) شبکه) است، هدف از Xplico شامل استخراج داده های ترافیک اینترنت است.

به عنوان مثال :

 از یک فایل pcap ، ابزار Xplico می تواند ایمیل (پروتکل های POP، IMAP و SMTP)، تمام محتوای HTTP، هر تماس VoIP (SIP)، FTP، TFTP و غیره را استخراج می کند .

مکانیسم استفاده – فارنزیک (Forensic) شبکه

XPLICO

به مرورگر بروید و آدرس را تایپ کنید:

“http: // localhost: 9876 /” با استفاده از اعتبارنامه های زیر وارد سیستم رابط کاربری xplico شوید

“Username : xplico”
“Password : xplico”

رابط کاربری xplico

روی New Cace کلیک کنید و نام و شماره مرجع را به آن بدهید و روی ایجاد کلیک کنید.

XPlico Interface

بر روی case name کلیک کنید (مثلا: test)

ابزار XPlico

بر روی new session کلیک کنید و آن را به نام (به عنوان مثال: analysis-1 ) و بر روی create کلیک کنید

Xplico Forensic

بر روی browse کلیک کنید و فایل PCAP خود را انتخاب کنید

PCAP

پس از بارگذاری آن روی رابط xplico روی دکمه آپلود کلیک کنید

PCAP Analys

بعد از فرآیند آپلود ابزار شروع به رمزگشایی می کند

PCAP Forensic

پس از فرآیند رمزگشایی، وضعیت را همانطور که در زیر نشان داده شده دریافت خواهید کرد

 

حالا شما می توانید خلاصه ای از تجزیه و تحلیل را مشاهده کنید و همچنین در سمت چپ شما گزینه ای برای آپشن های تجزیه و تحلیل ایجاد شده است (در زیر تصویری از نمودار پیام های DNS است).

نتیجه

XPLICO – یک ابزار ساده ، آسان و کارآمد برای استفاده فارنزیک (Forensic) است و همچنین فایل ضبط بسته یا فایل PCAP را تجزیه و تحلیل جامعی میکند .

این ابزار در بسیاری از آزمایش های نفوذی لینوکس مانند KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc تست شده است .

 

تهیه کننده : سید محمد اسماعیلی

نوشته های مرتبط

بلاک چین Blockchain

۲۷

اردیبهشت
همه موضوعات

معماری بلاک چین Blockchain

اجزاء، ساختار، مزایا و ایجاد بلاک چین ( Blockchain ) انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اصطلاح بلاک چین blockchain برای اولین بار در سال ۱۹۹۱ مطرح شد و گروهی از محققان خواستار ایجاد یک ابزاری برای تایید اسناد زمانبندی شده دیجیتالی شدند به طوری که قابل بازگشت به عقب و […]

حملات XSS

۲۲

اردیبهشت
همه موضوعات

سناریوهای عملی برای تست نفوذ حملات XSS

در ارزیابی های انجام شده چندین سناریوی عملی ( XSS attack ) یا حملات XSS وجود دارد که می تواند به عنوان PoCs ها برای اثبات خطرات واقعی آسیب پذیری های (Cross-Site Scripting (XSS انجام شود . به عنوان یک متخصص تست نفوذ ، اگر می خواهید مشتریان شما درک عمیقی از خطر آسیب پذیری ها که[…]