PCAPs - CESAR
Transcription
PCAPs - CESAR
Les Packet Captures, ou « PCAPs » Voyage au cœur des communications Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Julien VALIENTE – Consultant en Sécurité [email protected] Plan - Comment regarder dans les tuyaux ? - Outils de supervision classiques, sans pcap ? - C'est quoi en vrai un « pcap » ? - Comment on en fait ? - Et puis à quoi ça sert ? - Manipulations de base - Outils statistiques - Outils d'analyse & investigations - Outils d'extraction - Modifications et réinjections Les PCAPs - VVT 2011 - Pour aller plus loin... VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 2 Julien VALIENTE – Consultant en Sécurité [email protected] 0% Postes d'observation des flux – sans ajout sans gras ajouté! DMZ Flux sur adaptateurs réseau des serveurs (Linux, Windows, Solaris, Aix, etc.) ● Mode « promiscious » ● ● ● Duplication de ports (Port Miroring, Monitor Port) Agrégation de cartes (bridge, bonding, port trunking) Duplication de ports sur switchs manageables (Port Miroring) MAC Flooding (macof) ● Man-In-The-Middle, ARP Spoofing / Poisoning ● ● Les PCAPs - VVT 2011 Flux sur adaptateurs réseau des postes de travail (Linux, Windows, MacOS, etc.) ● Mode « promiscious » ● Réf: http://wiki.wireshark.org/CaptureSetup/Ethernet VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 3 Julien VALIENTE – Consultant en Sécurité [email protected] Postes d'observation des flux – ajout d'appareil en rupture Network 10/100/1G/10G copper / fiber professionnal TAP Pas oublier de faire du bonding ● Mode passif ● ● ou maison... ● ● Vieux HUB (limite le trafic à 10Mb/s) Mode actif Vieux PC ● 2 cartes réseau bridge, bondig ou proxy arp ● Mode actif ● ou pro pro... Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 4 Julien VALIENTE – Consultant en Sécurité [email protected] Outils de supervision classiques, sans pcap iftop http://www.ex-parrot.com/pdw/iftop/ Usage: iftop -npbBP -i interface -f filter code -N net/mask Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 5 Julien VALIENTE – Consultant en Sécurité [email protected] Outils de supervision classiques, sans pcap iptraf http://iptraf.seul.org Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 6 Julien VALIENTE – Consultant en Sécurité [email protected] Outils de supervision classiques, sans pcap bmon http://freshmeat.net/projects/bmon/ possibilités de faire des moyennes min, heure, jour, etc. ● ● Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 7 Julien VALIENTE – Consultant en Sécurité [email protected] Outils de supervision classiques, sans pcap Autres... Outil Exemples Remarques dhcpdump dhcpdump -i eth0 Dump les paquets DHCP dnstop dnstop eth0 Analyse le trafic DNS Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 8 Julien VALIENTE – Consultant en Sécurité [email protected] C'est quoi un « pcap » ? ✔ C'est une librairie de capture de trames réseau directement depuis les interfaces réseau ✔ C'est un format de fichier contenant des paquets réseau capturés Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 9 Julien VALIENTE – Consultant en Sécurité [email protected] C'est quoi un fichier « pcap » ? ex : ETHERNET + IP + TCP + HTTP Trame réseau Paquet PCAP Fichier PCAP Magic, versions, length, etc. Timestamps, lengths Paquet PCAP Trame réseau Paquet PCAP Paquet PCAP Les PCAPs - VVT 2011 pcap != netflow VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 10 Julien VALIENTE – Consultant en Sécurité [email protected] Dis papa, comment on fait de PCAPs ? Sous Linux, Windows, MacOS Nécessite une interface graphique. http://www.wireshark.org Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 11 Julien VALIENTE – Consultant en Sécurité [email protected] Dis papa, comment on fait de PCAPs ? Spécial Windows Il faut un driver spécial permettant de sniffer une carte réseau et la mettre en promiscious. On se sert ensuite de l'outil WinDump de CACE (sorte de clone windows de tcpdump), d'outils Linux avec Cygwin, ou d'outils mixte comme Wireshark. Copyright (c) 1999 - 2005 NetGroup, Politecnico di Torino (Italy). Copyright (c) 2005 - 2010 CACE Technologies, Davis (California). Portions Copyright (c) 1983, 1990, 1991, 1992, 1993, 1994, 1995, 1996, 1997 The Regents of the University of California. Portions Copyright (c) 1995, 1996, 1997 Kungliga Tekniska Högskolan (Royal Institute of Technology, Stockholm, Sweden). Portions Copyright (c) 1997 Yen Yen Lim and North Dakota State University. Portions Copyright (c) 1993 by Digital Equipment Corporation. Portions Copyright (C) 1995, 1996, 1997, 1998, and 1999 WIDE Project. Portions Copyright (c) 1996 Juniper Networks, Inc. Portions Copyright (c) 2001 Daniel Hartmeier. Portions Copyright 1989 by Carnegie Mellon. L'usage et la distribution sans modifications sont autorisé, à condition de : 1/ Mettre les mentions de copyright et condition d'utilisation et de distribution dans les sources et binaires. 2/ Ne pas se servir des noms de l'École Polytechnique de Turin ni de Cace Technologie pour la promotion du produit. Copyright (c) 1999 - 2005 NetGroup, Politecnico di Torino (Italy). Copyright (c) 2005 - 2010 CACE Technologies, Davis (California). Les PCAPs - Achète CACE en octobre 2010 - Commercialise AirPcap, TurboCap et WinPcap PRO VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs Page 12 Julien VALIENTE – Consultant en Sécurité [email protected] Dis papa, comment on fait de PCAPs ? Sous Linux, BSD, Solaris, etc. Outils d'enregistrement : Outil Exemples Remarques tcpdump tcpdump -i eth0 -s0 -w fichier.pcap tshark tshark -i eth0 -w fichier.pcap Wireshark en ligne de commande. Fournit avec. net2pcap net2pcap -i eth0 -f fichier.pcap Peut fonctionner en mode démon avec rotation des captures langage c/c++, perl, python, etc. Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 13 Julien VALIENTE – Consultant en Sécurité [email protected] Dis papa, comment on fait de PCAPs ? Hacks tcpdump Capture sur toutes les interfaces tcpdump -i any Limitation des tailles des captures tcpdump -i any -n -C 50 -s 0 -c 2000000 -w fichier.pcap -> fait des paquets de 50 Mo (-C, en Mo) -> limite la capture totale à 2 Go (-c, 2000000 paquets de 1Ko en moyenne) Principaux filtres de capture [src|dst] host <host> ether [src|dst] host <ehost> gateway host <host> [src|dst] net <network>/<len> [tcp|udp] [src|dst] port <port> [tcp|udp] [src|dst] portrange <p1>-<p2> Exemple : détecter des accès aux fichiers de la machine 1.2.3.4 tcpdump -n -i any "(port 445 or port 139) and host 1.2.3.4 and (tcp[(tcp[12]>>2)+8]=0xa2 or tcp[(tcp[12]>>2)+8]=0x32)" Les PCAPs - VVT 2011 Pour aller plus loin : RTFM http://www.tcpdump.org/tcpdump_man.html VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 14 Julien VALIENTE – Consultant en Sécurité [email protected] Dis papa, comment on fait de PCAPs ? Hacks Wireshark / tshark Limitation des tailles des captures tshark -i any -n -b filesize :50000 -a filesize :2000000 -w fichier.pcap -> fait des paquets de 50 Mo (-b, en Ko) -> limite la capture totale à 2 Go (-a, en Ko) Principaux filtres de capture les mêmes que tcpdump Display filters « à la wireshark » tshark -i any -n -R 'dns' -w fichier.pcap -> flux DNS tshark -i any -n -R 'smtp.req.command=="RCPT"' -w fichier.pcap -> liste les destinataires de mail tshark -i any -n -R 'http.request.uri matches "p=login"'' -w fichier.pcap -> liste accès aux URLs contenant « p=login » Les PCAPs - VVT 2011 Pour aller plus loin : RTFM http://www.wireshark.org/docs Cheat sheets utiles: http://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/ VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 15 Julien VALIENTE – Consultant en Sécurité [email protected] Question.... Et j'en fait quoi maintenant ? Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 16 Julien VALIENTE – Consultant en Sécurité [email protected] Manipulations de base Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 17 Julien VALIENTE – Consultant en Sécurité [email protected] Manipulations de base Visualisation avec Wireshark DEMO Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 18 Julien VALIENTE – Consultant en Sécurité [email protected] Manipulations de base Lecture -> filtrage -> ré-écriture ou comment tamiser des PCAPs ? Avec tcpdump tcpdump -n -r gros_fichier.pcap -w que_arp.pcap "arp" tcpdump -n -r gros_fichier.pcap -w que_1.2.3.4.pcap "host 1.2.3.4" tcpdump -n -r gros_fichier.pcap -w morceaux_1Mo.pcap -C 1 Avec tshark tshark -n -r gros_fichier.pcap -w erreurs_http.pcap -R 'http.response.code != 200' tshark -n -r gros_fichier.pcap -w morceaux_1Mo.pcap -b filesize:1000 Avec wireshark Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 19 Julien VALIENTE – Consultant en Sécurité [email protected] Manipulations de base Outil Exemples Remarques capinfos capinfos fichier.pcap Dates de captures, volumétries, etc. mergecap mergecap -w full.pcap part1.pcap part2.pcap etc. Concatène des pcap, même si les dates se chevauchent. editcap editcap -c 1000 fichier.pcap morceaux_1Mo.pcap Découpe de pcaps, et supprime des portions de paquets tcpick tcpick -r fichier.pcap -C -yP Affiche les connexions et payloads (en technicolor) tcpslice tcpslice -w portion.pcap [deb_tm[end_tm]] fichier.pcap Extrait des portions en fonction des timestamps Anonymat des pcaps : pktanon : http://www.secuobs.com/news/08082008-pktanon.shtml anon : http://www.icir.org/christian/downloads/anon ● tcpurify : http://masaka.cs.ohiou.edu/~eblanton/tcpurify/ ● sanitize, tcpdpriv, etc. Les PCAPs - VVT 2011 ● ● VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 20 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 21 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques Whireshark Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 22 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques tcpdstat http://staff.washington.edu/dittrich/talks/core02/tools/tools.html # ./tcpdstat test.pcap DumpFile: ../test.pcap FileSize: 0.68MB Id: 201106191441 StartTime: Sun Jun 19 14:41:16 2011 EndTime: Sun Jun 19 14:41:37 2011 TotalTime: 20.17 seconds TotalCapSize: 0.67MB CapLen: 1506 bytes # of packets: 860 (686.26KB) AvgRate: 281.26Kbps stddev:750.45K PeakRate: 2.76Mbps ### Packet Size Distribution (including MAC headers) ### <<<< [ 32- 63]: 19 [ 64- 127]: 341 [ 128- 255]: 6 [ 256- 511]: 44 [ 512- 1023]: 19 [ 1024- 2047]: 431 >>>> VVT 2011 Reproduction autorisée avec mention de la source ### Protocol Breakdown ### <<<< protocol packets bytes bytes/pkt -----------------------------------------------------------------------[0] total 860 (100.00%) 702726 (100.00%) 817.12 [1] ip 846 ( 98.37%) 701373 ( 99.81%) 829.05 [2] tcp 802 ( 93.26%) 695156 ( 98.92%) 866.78 [3] http(s) 467 ( 54.30%) 656925 ( 93.48%) 1406.69 [3] http(c) 312 ( 36.28%) 36821 ( 5.24%) 118.02 [3] other 23 ( 2.67%) 1410 ( 0.20%) 61.30 [2] udp 44 ( 5.12%) 6217 ( 0.88%) 141.30 [3] dns 24 ( 2.79%) 2308 ( 0.33%) 96.17 [3] mcast 20 ( 2.33%) 3909 ( 0.56%) 195.45 >>>> Les PCAPs - VVT 2011 Les PCAPs - VVT 2011 Page 23 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques tshark # tshark -q -z ip_hosts,tree -z http,tree -z http,stat, -r test.pcap ================================================= IP address value rate percent ------------------------------------------------------------------IP address 846 0,041944 192.168.1.4 838 0,041547 99,05% 192.168.1.1 32 0,001587 3,78% 224.0.0.251 12 0,000595 1,42% 192.168.1.2 23 0,001140 2,72% 239.255.255.250 8 0,000397 0,95% 174.142.230.146 779 0,038622 92,08% =========================================== HTTP Statistics * HTTP Status Codes in reply packets HTTP 200 OK HTTP 404 Not Found * List of HTTP Request methods GET 37 NOTIFY 8 =========================================== ================================================= ================================================= HTTP/Packet Counter value rate percent ------------------------------------------------------------------Total HTTP Packets 82 0,007642 HTTP Request Packets 45 0,004194 54,88% NOTIFY 8 0,000746 17,78% GET 37 0,003448 82,22% HTTP Response Packets 37 0,003448 45,12% ???: broken 0 0,000000 0,00% 1xx: Informational 0 0,000000 0,00% 2xx: Success 36 0,003355 97,30% 200 OK 36 0,003355 100,00% 3xx: Redirection 0 0,000000 0,00% 4xx: Client Error 1 0,000093 2,70% 404 Not Found 1 0,000093 100,00% 5xx: Server Error 0 0,000000 0,00% Other HTTP Packets 0 0,000000 0,00% Les PCAPs - VVT 2011 ================================================= VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 24 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques tshark (cont.) # tshark -r test.cap -R http.request -T fields -e http.host -e http.request.uri | sed -e 's/?.*$//' | sed -e 's#^\(.*\)\t\(.*\)$#http://\1\2#' | sort | uniq -c | sort -rn | head TOP 10 des URLs 2 http://youmessoft.com/wp-includes/js/thickbox/thickbox.css 1 http://youmessoft.com/wp-includes/js/thickbox/thickbox.js 1 http://youmessoft.com/wp-includes/js/jquery/jquery.js 1 http://youmessoft.com/wp-includes/js/comment-reply.js 1 http://youmessoft.com/wp-content/uploads/2011/03/server-rack.jpg 1 http://youmessoft.com/wp-content/uploads/2011/03/lan.jpg 1 http://youmessoft.com/wp-content/themes/Nova/style.css 1 http://youmessoft.com/wp-content/themes/Nova/js/superfish.js 1 http://youmessoft.com/wp-content/themes/Nova/js/jquery.easing.1.3.js 1 http://youmessoft.com/wp-content/themes/Nova/js/jquery.cycle.all.min.js # tshark -r test.pcap -nn -e ip.src -e eth.src -Tfields -E separator=, -R ip|sort|uniq Couples IP/MAC distincts 174.142.230.146,00:17:33:e8:ea:68 192.168.1.1,00:17:33:e8:ea:68 192.168.1.2,00:21:9b:89:50:46 192.168.1.4,00:19:66:85:59:f2 Les PCAPs - VVT 2011 # tshark -r test.pcap -nn -Tfields -e ip.src -e http.user_agent -R "http.user_agent"|sort|uniq Différents navigateurs 192.168.1.4 Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 25 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques tcptrace # tcptrace -n -b test.pcap TCP connection info: 1: 192.168.1.4:24800 2: 192.168.1.4:57079 3: 192.168.1.4:57080 4: 192.168.1.4:57081 5: 192.168.1.4:57082 6: 192.168.1.4:57083 7: 192.168.1.4:57084 - 192.168.1.2:1025 (a2b) 15> 8< 174.142.230.146:80 (c2d) 92> 146< 174.142.230.146:80 (e2f) 61> 92< 174.142.230.146:80 (g2h) 25> 29< 174.142.230.146:80 (i2j) 48> 67< 174.142.230.146:80 (k2l) 38> 54< 174.142.230.146:80 (m2n) 48> 79< # tcptrace -n -o2 -l test.pcap Détails (long) du flux n° 2 # tcptrace -n -o2 -P test.pcap Détails (long) des différents paquets composants le flux n°2 # tcptrace -n -xtraffic test.pcap Écrit les fichiers de stats traffic_byport.dat et traffic_stats.dat. Exemple de traffic_byport.dat : Overall totals by port TOTAL bytes: Port 80 bytes: Port 1025 bytes: Port 24800 bytes: Port 57079 bytes: Port 57080 bytes: Port 57081 bytes: 683928 682840 1088 1088 212927 136448 40415 pkts: pkts: pkts: pkts: pkts: pkts: pkts: VVT 2011 Reproduction autorisée avec mention de la source 802 conns: 779 conns: 23 conns: 23 conns: 238 conns: 153 conns: 54 conns: 7 6 1 1 1 1 1 tput: tput: tput: tput: tput: tput: tput: 34196 B/s 34142 B/s 54 B/s 54 B/s 10646 B/s 6822 B/s 2020 B/s Les PCAPs - VVT 2011 Les PCAPs - VVT 2011 Page 26 Julien VALIENTE – Consultant en Sécurité [email protected] Statistiques conchart http://myoss.belgoline.com/conchart/download-and-support # ./conchart -r test.pcap -o test.svg File: ../test.pcap T0 = 1308487276.93199 s 0s 2.017 s 4.034 s 6.051 s 8.068 s 10.085 s 12.102 s 14.119 s 16.136 s 18.153 s 20.17 s TCP 192.168.1.2:1025 192.168.1.4:24800 TCP 174.142.230.146:80 192.168.1.4:57079 192.168.1.4:57080 192.168.1.4:57081 192.168.1.4:57082 192.168.1.4:57083 192.168.1.4:57084 UDP 192.168.1.1:53 UDP 239.255.255.250:1900 Les PCAPs - VVT 2011 UDP 224.0.0.251:5353 192.168.1.4:49079 Wouter Godefroy Godefroy -- 2010 2010 Wouter Legend: Connection Client Sent Data TCP Reset Packet Server&Service Group Server Sent Data TCP Retransmit Packet VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 27 Julien VALIENTE – Consultant en Sécurité [email protected] Voir aussi Outil argus Exemples argus -r test.pcap -w -|ra -L0 Remarques Argus comprend des tas d'outils d'analyse Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 28 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 29 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Netwitness Investigator Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 30 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations NTop # ntop -f fichier.pcap Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 31 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Snort # snort -c snort.conf -r fichier.pcap Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 32 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Etherape # etherape -n -r fichier.pcap Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 33 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Rumint Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 34 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Ggobi Prend des cvs en entrée. Donc préalablement extraire des vues pcap à l'aide de tshark -Tfields Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 35 Julien VALIENTE – Consultant en Sécurité [email protected] Analyses & investigations Inetvis Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 36 Julien VALIENTE – Consultant en Sécurité [email protected] Cartographie avec AfterGlow et Graphviz Extraction des champs à cartographier # tshark -r test.pcap -nn -e ip.src -e eth.src -Tfields -E separator=, -R ip > ip_mac.csv # tshark -r test.pcap -nn -e ip.dst -e eth.dst -Tfields -E separator=, -R ip >> ip_mac.csv Nettoyage des données #cat ip_mac.csv | sort | uniq > ip_mac_distincts.csv Création du graph avec AfterGlow #cat ip_mac_distincts.csv | ./afterglow.pl -t > graph_ip_mac.dot Création de l'image du graph avec Graphviz #neato -T png -o graph_ip_mac.png graph_ip_mac.dot Passerelle Les PCAPs - VVT 2011 Source : davix VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 37 Julien VALIENTE – Consultant en Sécurité [email protected] Cartographie avec AfterGlow et Graphviz Analyse & investigation # p0f -N -s test.pcap > os_map_raw.csv Nettoyage des données # cat os_map_raw.txt | sed "s/ (up.*$//" | sed "s/:[0-9]* - /,/" | sort | uniq > os_map.csv Création du graph avec AfterGlow #cat os_map.csv | ./afterglow.pl -t > graph_os.dot Création de l'image du graph avec Graphviz #neato -T png -o graph_os.png graph_os.dot Les PCAPs - VVT 2011 Source : davix VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 38 Julien VALIENTE – Consultant en Sécurité [email protected] Cartographie avec AfterGlow et Graphviz Extraction des champs à cartographier # tshark -r test.pcap -nn -e ip.src -e ip.dst -Tfields -E separator=, -R ip > ip_src_dst_raw.csv Suppression des données dupliquées #cat ip_src_dst_raw.csv | sort -u > ip_src_dst.csv Création du graph avec AfterGlow #cat ip_src_dst.csv | ./afterglow.pl -t -c src_dst.properties > graph_ip_src_dst.dot Création de l'image du graph avec Graphviz #neato -T png -o graph_ip_src_dst.png graph_ip_src_dst.dot src_dst.properties : color.source="lightblue" if ($fields[0]=~/^0\.0\.0\.0$/); color.source="lightblue" if ($fields[0]=~/^255\.255\.255\.255$/); color.source="lightblue" if ($fields[0]=~/^.*\..*\..*\.255$/); color.source="lightblue" if ($fields[0]=~/^198\.123\.30\.132$/); color.source="palegreen" if ($fields[0]=~/^192\.168\..*\..*/); color.source="lightsalmon" size.source=$sourceCount{$sourceName}; maxnodesize=1; Les PCAPs - VVT 2011 color.target="lightblue" if ($fields[1]=~/^0\.0\.0\.0$/); color.target="lightblue" if ($fields[1]=~/^255\.255\.255\.255$/); color.source="lightblue" if ($fields[1]=~/^.*\..*\..*\.255$/); color.target="lightblue" if ($fields[1]=~/^198\.123\.30\.132$/); color.target="palegreen" if ($fields[1]=~/^192\.168\..*\..*/); color.target="lightsalmon" size.target=$targetCount{$targetName} VVT 2011 Reproduction autorisée avec mention de la source Source : davix Les PCAPs - VVT 2011 Page 39 Julien VALIENTE – Consultant en Sécurité [email protected] Cartographie avec AfterGlow et Graphviz Pas vraiment de limites... Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 40 Julien VALIENTE – Consultant en Sécurité [email protected] Voir aussi Outil Exemples Remarques lneato lneato graph.dot Visualisation interactive de graphs ip-link un tas de scripts python Visualisations ploticus, graphviz, moowheel, histogrammes, etc. p0f p0f -N -s test.pcap Détection passive de systèmes d'exploitation Les PCAPs - VVT 2011 http://ip-link.wikidot.com/tutorial VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 41 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 42 Julien VALIENTE – Consultant en Sécurité [email protected] Méfi... Code Pénal Art. 226-13: La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende. Art. 226-17: Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. Art. 226-22: Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit. Loi 78-17 du 6 janvier 1978 Art.34 : Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés Les PCAPset- des VVTlibertés, 2011 peuvent fixer les prescriptions techniques y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8. VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 43 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions wireshark Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 44 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions tcptrace # tcptrace -n -b test.pcap TCP connection info: 1: 192.168.1.4:24800 2: 192.168.1.4:57079 3: 192.168.1.4:57080 4: 192.168.1.4:57081 5: 192.168.1.4:57082 6: 192.168.1.4:57083 7: 192.168.1.4:57084 - 192.168.1.2:1025 (a2b) 15> 8< 174.142.230.146:80 (c2d) 92> 146< 174.142.230.146:80 (e2f) 61> 92< 174.142.230.146:80 (g2h) 25> 29< 174.142.230.146:80 (i2j) 48> 67< 174.142.230.146:80 (k2l) 38> 54< 174.142.230.146:80 (m2n) 48> 79< # tcptrace -n -o2 -e test.pcap Extrait le contenu échangé dans le flux : ● fichier d2c_contents.dat pour les échanges c -> d ● fichier c2d_contents.dat pour les échanges d -> c Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 45 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions Xplico # xplico -m pcap -f fichier.pcap # xplico -m pcap -d /rep/plein/de/pcaps Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 46 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions Extraction de mots de passe Les PCAPs - VVT 2011 Et bien d'autres outils encore ... VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 47 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions Extractions audio Les PCAPs - VVT 2011 Et bien d'autres outils encore ... VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 48 Julien VALIENTE – Consultant en Sécurité [email protected] Extractions Extraction de contenus - images / multimédia - fichiers (office, zip, etc.) - cookies - URLs (avec aussi les GET) - mails (POP3, IMAP, SMTP) - etc. Les PCAPs - VVT 2011 Et bien d'autres outils encore ... VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 49 Julien VALIENTE – Consultant en Sécurité [email protected] Voir aussi Outil Exemples Remarques tcpick tcpick -r fichier.pcap -wR Crée des fichiers de données, par connexion client/serveur tcpflow tcpflow -r fichier.pcap Crée des fichiers de données, par connexion client/serveur foremost foremost fichier.pcap Détecte des formats de fichiers connus et les extrait (forensic) Pcap Forensics Tool python pcap.py -f fichier.pcap http://www.malforge.com/node/32 chaosreader chaosreader fichier.pcap Ré-assemble les fichiers de flux Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 50 Julien VALIENTE – Consultant en Sécurité [email protected] Modifications et injections Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 51 Julien VALIENTE – Consultant en Sécurité [email protected] Voir aussi Outil Exemples Remarques tcprewrite tcprewrite --smac 00:01:02:03:04:05,a0:a1:a2:a3:a4:a5 --infile=file.pcap --outfile=res.pcap Modifie les paquets tcpprep tcpprep --port --pcap=file.pcap --cachefile=file.cache Sépare les flux client et serveur tcpreplay tcpreplay --pps=2 --intf1=eth0 res.pcap Réinjecte dans le réseau Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 52 Julien VALIENTE – Consultant en Sécurité [email protected] Aller plus haut Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 53 Julien VALIENTE – Consultant en Sécurité [email protected] Livres Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 54 Julien VALIENTE – Consultant en Sécurité [email protected] Distros http://www.secviz.org/ Les PCAPs - VVT 2011 VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 55 Julien VALIENTE – Consultant en Sécurité [email protected] Challenges https://www.honeynet.org/challenges https://www.evilfingers.com/repository/pcaps_challenge.php Les PCAPs - VVT 2011 etc. VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 56 Julien VALIENTE – Consultant en Sécurité [email protected] Échantillons de pcaps http://wiki.wireshark.org/SampleCaptures ftp://wireshark.org/automated/captures/ http://packetlife.net/captures/ pcapr, where pcaps come alive http://www.pcapr.net/home "2009 Inter-Service Academy Cyber Defense Competition" http://www.itoc.usma.edu/research/dataset/index.html Digital Evaluation and Exploitation Department of Computer Science, Naval Postgraduate School http://domex.nps.edu/corp/scenarios/2009-m57/net/ http://www.ist-mome.org/database/MeasurementData/?cmd=databrowse http://cctf.shmoo.com/data/ Les PCAPs - VVT 2011 http://mail.im.tku.edu.tw/~miller.lai/pcap/pcapList.php VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 57 Julien VALIENTE – Consultant en Sécurité [email protected] Conclusion LES PCAPs C'EST BON Les PCAPs - VVT 2011 MANGEZ-EN ! VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 58 Julien VALIENTE – Consultant en Sécurité [email protected] Merci Les PCAPs - VVT 2011 Des questions ? VVT 2011 Reproduction autorisée avec mention de la source Les PCAPs - VVT 2011 Page 59 Julien VALIENTE – Consultant en Sécurité [email protected]