آنالیز فایل PCAP با XPLICO

آنالیز فایل PCAP با XPLICO – ابزار فارنزیک ( Forensic ) شبکه

فارنزیک شبکه یا Network Forensic یک بخش از پرونده جرم یابی دیجیتال مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه های کامپیوتری به منظور جمع آوری اطلاعات، شواهد حقوقی یا تشخیص نفوذ است.

بر خلاف سایر حوزه های جرم یابی دیجیتال ، تحقیقات در حوزه شبکه همیشه با اطلاعات بی نظیر و پویا همراه بوده است .

در شبکه های کامپیوتری ترافیک های شبکه غالبا در فرآیند نقل و انتقالات هستند و سپس از بین می رود، بنابراین در طول فرایند نقل و انتقالات ، دادرسی های شبکه اغلب یک تحقیق حرفه ای محسوب می گردد .

مقالات دیگر در وب سایت

یک فایل PCAP چیست؟

در زمینه مدیریت شبکه کامپیوتری، (pcap (packet capture شامل یک رابط برنامه نویسی کاربردی (API) برای گرفتن ترافیک شبکه می باشد.

سیستم های یونیکس غالبا فایل pcap را در کتابخانه libpcap اجرا می کنند و سیستم های ویندوز از یک پورت libpcap معروف به WinPcap استفاده می کند.

فایل PCAP یک فایل داده ایجاد شده توسط Wireshark (قبلا Ethereal) می باشد که یک برنامه رایگان مورد استفاده برای تجزیه و تحلیل و حاوی داده های بسته شبکه ای است که در طول رکورد شدن شبکه زنده ایجاد شده است.

مورد استفاده برای ” packet sniffing” و تجزیه و تحلیل ویژگی های داده ها در شبکه است که می توان با استفاده از نرم افزار که شامل کتابخانه های libpcap یا WinPcap است، تجزیه و تحلیل کرد .

تجزیه و تحلیل فارنزیک (Forensic) در سطح متوسط

خوب، ما از یک ابزار به نام XPLICO استفاده خواهیم کرد، ابزار xplico یک منبع باز NFAT (ابزار فارنزیک (Forensic) شبکه) است، هدف از Xplico شامل استخراج داده های ترافیک اینترنت است.

به عنوان مثال :

 از یک فایل pcap ، ابزار Xplico می تواند ایمیل (پروتکل های POP، IMAP و SMTP)، تمام محتوای HTTP، هر تماس VoIP (SIP)، FTP، TFTP و غیره را استخراج می کند .

مکانیسم استفاده – فارنزیک (Forensic) شبکه

XPLICO

به مرورگر بروید و آدرس را تایپ کنید:

“http: // localhost: 9876 /” با استفاده از اعتبارنامه های زیر وارد سیستم رابط کاربری xplico شوید

“Username : xplico”
“Password : xplico”

رابط کاربری xplico

روی New Cace کلیک کنید و نام و شماره مرجع را به آن بدهید و روی ایجاد کلیک کنید.

XPlico Interface

بر روی case name کلیک کنید (مثلا: test)

ابزار XPlico

بر روی new session کلیک کنید و آن را به نام (به عنوان مثال: analysis-1 ) و بر روی create کلیک کنید

Xplico Forensic

بر روی browse کلیک کنید و فایل PCAP خود را انتخاب کنید

PCAP

پس از بارگذاری آن روی رابط xplico روی دکمه آپلود کلیک کنید

PCAP Analys

بعد از فرآیند آپلود ابزار شروع به رمزگشایی می کند

PCAP Forensic

پس از فرآیند رمزگشایی، وضعیت را همانطور که در زیر نشان داده شده دریافت خواهید کرد

 

حالا شما می توانید خلاصه ای از تجزیه و تحلیل را مشاهده کنید و همچنین در سمت چپ شما گزینه ای برای آپشن های تجزیه و تحلیل ایجاد شده است (در زیر تصویری از نمودار پیام های DNS است).

نتیجه

XPLICO – یک ابزار ساده ، آسان و کارآمد برای استفاده فارنزیک (Forensic) است و همچنین فایل ضبط بسته یا فایل PCAP را تجزیه و تحلیل جامعی میکند .

این ابزار در بسیاری از آزمایش های نفوذی لینوکس مانند KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc تست شده است .

 

تهیه کننده : سید محمد اسماعیلی

نوشته های مرتبط

امنیت سرور ssh

۱۹

مرداد
همه موضوعات

سند امنیت در سرور OpenSSH – چک لیست امنیتی OpenSSh

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است OpenSSH اجرای پروتکل SSH است و به دلیل امنیت بالا برای ریموت لاگین ، ایجاد پشتیبان ، انتقال فایل از راه دور از طریق scp یا sftp و موارد دیگر توصیه می شود. SSH جهت حفظ محرمانگی و یکپارچگی داده های تبادل شده بین دو شبکه […]

کنترل پهنای باند اینترنت

۱۶

مرداد
همه موضوعات

محدود کردن سرعت اینترنت کاربران شبکه LAN در لینوکس

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است  اینترنت می تواند ترافیک نامطلوب زیادی را از جمله فعالیت هکرها ، اسپم ها ، جاسوس افزارها و موارد دیگر به همراه آورد. در این مقاله قصد دارم یک ابزار منبع باز را معرفی کنم تا بوسیله آن بتوانید ترافیک اینترنت را کنترل کرده و فعالیت[…]