آنالیز فایل PCAP با XPLICO

آنالیز فایل PCAP با XPLICO – ابزار فارنزیک ( Forensic ) شبکه

فارنزیک شبکه یا Network Forensic یک بخش از پرونده جرم یابی دیجیتال مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه های کامپیوتری به منظور جمع آوری اطلاعات، شواهد حقوقی یا تشخیص نفوذ است.

بر خلاف سایر حوزه های جرم یابی دیجیتال ، تحقیقات در حوزه شبکه همیشه با اطلاعات بی نظیر و پویا همراه بوده است .

در شبکه های کامپیوتری ترافیک های شبکه غالبا در فرآیند نقل و انتقالات هستند و سپس از بین می رود، بنابراین در طول فرایند نقل و انتقالات ، دادرسی های شبکه اغلب یک تحقیق حرفه ای محسوب می گردد .

مقالات دیگر در وب سایت

یک فایل PCAP چیست؟

در زمینه مدیریت شبکه کامپیوتری، (pcap (packet capture شامل یک رابط برنامه نویسی کاربردی (API) برای گرفتن ترافیک شبکه می باشد.

سیستم های یونیکس غالبا فایل pcap را در کتابخانه libpcap اجرا می کنند و سیستم های ویندوز از یک پورت libpcap معروف به WinPcap استفاده می کند.

فایل PCAP یک فایل داده ایجاد شده توسط Wireshark (قبلا Ethereal) می باشد که یک برنامه رایگان مورد استفاده برای تجزیه و تحلیل و حاوی داده های بسته شبکه ای است که در طول رکورد شدن شبکه زنده ایجاد شده است.

مورد استفاده برای ” packet sniffing” و تجزیه و تحلیل ویژگی های داده ها در شبکه است که می توان با استفاده از نرم افزار که شامل کتابخانه های libpcap یا WinPcap است، تجزیه و تحلیل کرد .

تجزیه و تحلیل فارنزیک (Forensic) در سطح متوسط

خوب، ما از یک ابزار به نام XPLICO استفاده خواهیم کرد، ابزار xplico یک منبع باز NFAT (ابزار فارنزیک (Forensic) شبکه) است، هدف از Xplico شامل استخراج داده های ترافیک اینترنت است.

به عنوان مثال :

 از یک فایل pcap ، ابزار Xplico می تواند ایمیل (پروتکل های POP، IMAP و SMTP)، تمام محتوای HTTP، هر تماس VoIP (SIP)، FTP، TFTP و غیره را استخراج می کند .

مکانیسم استفاده – فارنزیک (Forensic) شبکه

XPLICO

به مرورگر بروید و آدرس را تایپ کنید:

“http: // localhost: 9876 /” با استفاده از اعتبارنامه های زیر وارد سیستم رابط کاربری xplico شوید

“Username : xplico”
“Password : xplico”

رابط کاربری xplico

روی New Cace کلیک کنید و نام و شماره مرجع را به آن بدهید و روی ایجاد کلیک کنید.

XPlico Interface

بر روی case name کلیک کنید (مثلا: test)

ابزار XPlico

بر روی new session کلیک کنید و آن را به نام (به عنوان مثال: analysis-1 ) و بر روی create کلیک کنید

Xplico Forensic

بر روی browse کلیک کنید و فایل PCAP خود را انتخاب کنید

PCAP

پس از بارگذاری آن روی رابط xplico روی دکمه آپلود کلیک کنید

PCAP Analys

بعد از فرآیند آپلود ابزار شروع به رمزگشایی می کند

PCAP Forensic

پس از فرآیند رمزگشایی، وضعیت را همانطور که در زیر نشان داده شده دریافت خواهید کرد

 

حالا شما می توانید خلاصه ای از تجزیه و تحلیل را مشاهده کنید و همچنین در سمت چپ شما گزینه ای برای آپشن های تجزیه و تحلیل ایجاد شده است (در زیر تصویری از نمودار پیام های DNS است).

نتیجه

XPLICO – یک ابزار ساده ، آسان و کارآمد برای استفاده فارنزیک (Forensic) است و همچنین فایل ضبط بسته یا فایل PCAP را تجزیه و تحلیل جامعی میکند .

این ابزار در بسیاری از آزمایش های نفوذی لینوکس مانند KALI LINUX, PARROT OS, DEFT, Security Onion, Backbox, Pentooetc تست شده است .

 

تهیه کننده : سید محمد اسماعیلی

نوشته های مرتبط

مدیریت دستگاه های IOT

۰۵

آبان
همه موضوعات

مدیریت از راه دور دستگاه های IOT با استفاده از ابزار Upswift

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اگر فقط از یک دستگاه IoT استفاده می کنید و درحال توسعه پروژه های خود هستید، به روزرسانی و مدیریت آن سریع و آسان است. اما اگر ۱۰ ، ۵۰ یا ۱۰۰ دستگاه داشته باشید چه می کنید؟ مدیریت همه آنها ناگهان به یک دردسر […]

رکوردهای DNS

۱۹

مهر
همه موضوعات

مدیریت رکوردهای DNS با DNStable

یافتن اطلاعات در مورد سوابق DNS فرآیندی است که متخصصان امنیتی با عملیات های خاصی انجام می دهند. این اطلاعات از چند طریق قابل دستیابی است که در این مقاله به آنها خواهیم پرداخت. مشکل این است که بیشتر ابزارها برای یافتن سوابق DNS به روز شده و استفاده از آنها دشوار است. بیشتر متخصصان با تجربه[…]