PCAPs - CESAR

Transcription

PCAPs - CESAR

Les Packet Captures, ou « PCAPs »
Voyage au cœur des communications
Les PCAPs - VVT 2011
VVT 2011
Reproduction autorisée avec mention de la source
Julien VALIENTE – Consultant en Sécurité
[email protected]
Plan
- Comment regarder dans les tuyaux ?
- Outils de supervision classiques, sans pcap ?
- C'est quoi en vrai un « pcap » ?
- Comment on en fait ?
- Et puis à quoi ça sert ?
- Manipulations de base
- Outils statistiques
- Outils d'analyse & investigations
- Outils d'extraction
- Modifications et réinjections
- Pour aller plus loin...
VVT 2011
Page 2
[email protected]
0%
Postes d'observation des flux – sans ajout
sans gras ajouté!
DMZ
Flux sur adaptateurs réseau des serveurs (Linux, Windows,
Solaris, Aix, etc.)
●
Mode « promiscious »
●
●
●
Duplication de ports (Port Miroring, Monitor Port)
Agrégation de cartes (bridge, bonding, port trunking)
Duplication de ports sur switchs manageables (Port Miroring)
MAC Flooding (macof)
●
Man-In-The-Middle, ARP Spoofing / Poisoning
●
●
Flux sur adaptateurs réseau des postes de travail (Linux,
Windows, MacOS, etc.)
●
Mode « promiscious »
●
Réf: http://wiki.wireshark.org/CaptureSetup/Ethernet
VVT 2011
Page 3
[email protected]
Postes d'observation des flux – ajout d'appareil en rupture
Network 10/100/1G/10G copper / fiber professionnal TAP
Pas oublier de faire du bonding
●
Mode passif
●
●
ou maison...
●
●
Vieux HUB (limite le trafic à 10Mb/s)
Mode actif
Vieux PC
●
2 cartes réseau bridge, bondig ou proxy arp
●
Mode actif
●
ou pro pro...
VVT 2011
Page 4
[email protected]
Outils de supervision classiques, sans pcap
iftop
http://www.ex-parrot.com/pdw/iftop/
Usage:
iftop -npbBP -i interface -f filter code -N net/mask
VVT 2011
Page 5
[email protected]
iptraf
http://iptraf.seul.org
VVT 2011
Page 6
[email protected]
bmon
http://freshmeat.net/projects/bmon/
possibilités de faire des moyennes min, heure,
jour, etc.
●
●
VVT 2011
Page 7
[email protected]
Autres...
Outil
Exemples
Remarques
dhcpdump
dhcpdump -i eth0
Dump les paquets DHCP
dnstop
dnstop eth0
Analyse le trafic DNS
VVT 2011
Page 8
[email protected]
C'est quoi un « pcap » ?
✔ C'est une librairie de capture de trames réseau directement depuis les interfaces réseau
✔ C'est un format de fichier contenant des paquets réseau capturés
VVT 2011
Page 9
[email protected]
C'est quoi un fichier « pcap » ?
ex : ETHERNET + IP + TCP + HTTP
Trame réseau
Paquet PCAP
Fichier PCAP
Magic, versions, length, etc.
Timestamps, lengths
Paquet PCAP
Trame réseau
Paquet PCAP
Paquet PCAP
pcap != netflow
VVT 2011
Page 10
[email protected]
Dis papa, comment on fait de PCAPs ?
Sous Linux, Windows, MacOS
Nécessite une interface graphique.
http://www.wireshark.org
VVT 2011
Page 11
[email protected]
Spécial Windows
Il faut un driver spécial permettant de sniffer une carte réseau et la mettre en promiscious.
On se sert ensuite de l'outil WinDump de CACE (sorte de clone windows de tcpdump), d'outils Linux avec Cygwin, ou d'outils
mixte comme Wireshark.
Copyright (c) 1999 - 2005 NetGroup, Politecnico di Torino (Italy).
Copyright (c) 2005 - 2010 CACE Technologies, Davis (California).
Portions Copyright (c) 1983, 1990, 1991, 1992, 1993, 1994, 1995, 1996, 1997 The Regents of the University of California.
Portions Copyright (c) 1995, 1996, 1997 Kungliga Tekniska Högskolan (Royal Institute of Technology, Stockholm, Sweden).
Portions Copyright (c) 1997 Yen Yen Lim and North Dakota State University.
Portions Copyright (c) 1993 by Digital Equipment Corporation.
Portions Copyright (C) 1995, 1996, 1997, 1998, and 1999 WIDE Project.
Portions Copyright (c) 1996 Juniper Networks, Inc.
Portions Copyright (c) 2001 Daniel Hartmeier.
Portions Copyright 1989 by Carnegie Mellon.
L'usage et la distribution sans modifications sont autorisé, à condition de :
1/ Mettre les mentions de copyright et condition d'utilisation et de distribution dans les sources et binaires.
2/ Ne pas se servir des noms de l'École Polytechnique de Turin ni de Cace Technologie pour la promotion du produit.
Copyright (c) 1999 - 2005 NetGroup, Politecnico di Torino (Italy).
Copyright (c) 2005 - 2010 CACE Technologies, Davis (California).
Les PCAPs
- Achète CACE en octobre 2010
- Commercialise AirPcap, TurboCap et WinPcap PRO
VVT 2011
Les PCAPs
Page 12
[email protected]
Sous Linux, BSD, Solaris, etc.
Outils d'enregistrement :
Outil
Exemples
Remarques
tcpdump
tcpdump -i eth0 -s0 -w fichier.pcap
tshark
tshark -i eth0 -w fichier.pcap
Wireshark en ligne de commande. Fournit avec.
net2pcap
net2pcap -i eth0 -f fichier.pcap
Peut fonctionner en mode démon avec rotation des captures
langage
c/c++, perl, python, etc.
VVT 2011
Page 13
[email protected]
Hacks tcpdump
Capture sur toutes les interfaces
tcpdump -i any
Limitation des tailles des captures
tcpdump -i any -n -C 50 -s 0 -c 2000000 -w fichier.pcap
-> fait des paquets de 50 Mo (-C, en Mo)
-> limite la capture totale à 2 Go (-c, 2000000 paquets de 1Ko en moyenne)
Principaux filtres de capture
[src|dst] host <host>
ether [src|dst] host <ehost>
gateway host <host>
[src|dst] net <network>/<len>
[tcp|udp] [src|dst] port <port>
[tcp|udp] [src|dst] portrange <p1>-<p2>
Exemple : détecter des accès aux fichiers de la machine 1.2.3.4
tcpdump -n -i any "(port 445 or port 139) and host 1.2.3.4 and (tcp[(tcp[12]>>2)+8]=0xa2 or tcp[(tcp[12]>>2)+8]=0x32)"
Pour aller plus loin : RTFM
http://www.tcpdump.org/tcpdump_man.html
VVT 2011
Page 14
[email protected]
Hacks Wireshark / tshark
Limitation des tailles des captures
tshark -i any -n -b filesize :50000 -a filesize :2000000 -w fichier.pcap
-> fait des paquets de 50 Mo (-b, en Ko)
-> limite la capture totale à 2 Go (-a, en Ko)
Principaux filtres de capture
les mêmes que tcpdump
Display filters « à la wireshark »
tshark -i any -n -R 'dns' -w fichier.pcap -> flux DNS
tshark -i any -n -R 'smtp.req.command=="RCPT"' -w fichier.pcap -> liste les destinataires de mail
tshark -i any -n -R 'http.request.uri matches "p=login"'' -w fichier.pcap -> liste accès aux URLs contenant « p=login »
Pour aller plus loin : RTFM
http://www.wireshark.org/docs
Cheat sheets utiles: http://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/
VVT 2011
Page 15
[email protected]
Question....
Et j'en fait quoi maintenant ?
VVT 2011
Page 16
[email protected]
Manipulations de base
VVT 2011
Page 17
[email protected]
Visualisation avec Wireshark
DEMO
VVT 2011
Page 18
[email protected]
Lecture -> filtrage -> ré-écriture
ou comment tamiser des PCAPs ?
Avec tcpdump
tcpdump -n -r gros_fichier.pcap -w que_arp.pcap "arp"
tcpdump -n -r gros_fichier.pcap -w que_1.2.3.4.pcap "host 1.2.3.4"
tcpdump -n -r gros_fichier.pcap -w morceaux_1Mo.pcap -C 1
Avec tshark
tshark -n -r gros_fichier.pcap -w erreurs_http.pcap -R 'http.response.code != 200'
tshark -n -r gros_fichier.pcap -w morceaux_1Mo.pcap -b filesize:1000
Avec wireshark
VVT 2011
Page 19
[email protected]
Outil
Exemples
Remarques
capinfos
capinfos fichier.pcap
Dates de captures, volumétries, etc.
mergecap
mergecap -w full.pcap part1.pcap part2.pcap etc.
Concatène des pcap, même si les dates se chevauchent.
editcap
editcap -c 1000 fichier.pcap morceaux_1Mo.pcap
Découpe de pcaps, et supprime des portions de paquets
tcpick
tcpick -r fichier.pcap -C -yP
Affiche les connexions et payloads (en technicolor)
tcpslice
tcpslice -w portion.pcap [deb_tm[end_tm]] fichier.pcap
Extrait des portions en fonction des timestamps
Anonymat des pcaps :
pktanon : http://www.secuobs.com/news/08082008-pktanon.shtml
anon : http://www.icir.org/christian/downloads/anon
●
tcpurify : http://masaka.cs.ohiou.edu/~eblanton/tcpurify/
●
sanitize, tcpdpriv, etc.
●
●
VVT 2011
Page 20
[email protected]
Statistiques
VVT 2011
Page 21
[email protected]
Statistiques
Whireshark
VVT 2011
Page 22
[email protected]
Statistiques
tcpdstat
http://staff.washington.edu/dittrich/talks/core02/tools/tools.html
# ./tcpdstat test.pcap
DumpFile: ../test.pcap
FileSize: 0.68MB
Id: 201106191441
StartTime: Sun Jun 19 14:41:16 2011
EndTime: Sun Jun 19 14:41:37 2011
TotalTime: 20.17 seconds
TotalCapSize: 0.67MB CapLen: 1506 bytes
# of packets: 860 (686.26KB)
AvgRate: 281.26Kbps stddev:750.45K PeakRate: 2.76Mbps
### Packet Size Distribution (including MAC headers) ###
<<<<
[ 32- 63]:
19
[ 64- 127]:
341
[ 128- 255]:
6
[ 256- 511]:
44
[ 512- 1023]:
19
[ 1024- 2047]:
431
>>>>
VVT 2011
### Protocol Breakdown ###
<<<<
protocol
packets
bytes
bytes/pkt
-----------------------------------------------------------------------[0] total
860 (100.00%)
702726 (100.00%) 817.12
[1] ip
846 ( 98.37%)
701373 ( 99.81%) 829.05
[2] tcp
802 ( 93.26%)
695156 ( 98.92%) 866.78
[3] http(s)
467 ( 54.30%)
656925 ( 93.48%) 1406.69
[3] http(c)
312 ( 36.28%)
36821 ( 5.24%) 118.02
[3] other
23 ( 2.67%)
1410 ( 0.20%)
61.30
[2] udp
44 ( 5.12%)
6217 ( 0.88%) 141.30
[3] dns
24 ( 2.79%)
2308 ( 0.33%)
96.17
[3] mcast
20 ( 2.33%)
3909 ( 0.56%) 195.45
>>>>
Page 23
[email protected]
Statistiques
tshark
# tshark -q -z ip_hosts,tree -z http,tree -z http,stat, -r test.pcap
=================================================
IP address
value
rate
percent
------------------------------------------------------------------IP address
846
0,041944
192.168.1.4
838
0,041547
99,05%
192.168.1.1
32
0,001587
3,78%
224.0.0.251
12
0,000595
1,42%
192.168.1.2
23
0,001140
2,72%
239.255.255.250
8
0,000397
0,95%
174.142.230.146
779
0,038622
92,08%
===========================================
HTTP Statistics
* HTTP Status Codes in reply packets
HTTP 200 OK
HTTP 404 Not Found
* List of HTTP Request methods
GET 37
NOTIFY 8
===========================================
=================================================
=================================================
HTTP/Packet Counter
value
rate
percent
------------------------------------------------------------------Total HTTP Packets
82
0,007642
HTTP Request Packets
45
0,004194
54,88%
NOTIFY
8
0,000746
17,78%
GET
37
0,003448
82,22%
HTTP Response Packets
37
0,003448
45,12%
???: broken
0
0,000000
0,00%
1xx: Informational
0
0,000000
0,00%
2xx: Success
36
0,003355
97,30%
200 OK
36
0,003355
100,00%
3xx: Redirection
0
0,000000
0,00%
4xx: Client Error
1
0,000093
2,70%
404 Not Found
1
0,000093
100,00%
5xx: Server Error
0
0,000000
0,00%
Other HTTP Packets
0
0,000000
0,00%
=================================================
VVT 2011
Page 24
[email protected]
Statistiques
tshark (cont.)
# tshark -r test.cap -R http.request
-T fields -e http.host -e http.request.uri |
sed -e 's/?.*$//' |
sed -e 's#^$.*$\t$.*$$#http://\1\2#' |
sort | uniq -c | sort -rn | head
TOP 10 des URLs
2 http://youmessoft.com/wp-includes/js/thickbox/thickbox.css
1 http://youmessoft.com/wp-includes/js/thickbox/thickbox.js
1 http://youmessoft.com/wp-includes/js/jquery/jquery.js
1 http://youmessoft.com/wp-includes/js/comment-reply.js
1 http://youmessoft.com/wp-content/uploads/2011/03/server-rack.jpg
1 http://youmessoft.com/wp-content/uploads/2011/03/lan.jpg
1 http://youmessoft.com/wp-content/themes/Nova/style.css
1 http://youmessoft.com/wp-content/themes/Nova/js/superfish.js
1 http://youmessoft.com/wp-content/themes/Nova/js/jquery.easing.1.3.js
1 http://youmessoft.com/wp-content/themes/Nova/js/jquery.cycle.all.min.js
# tshark -r test.pcap -nn -e ip.src -e eth.src -Tfields -E separator=, -R ip|sort|uniq
Couples IP/MAC distincts
174.142.230.146,00:17:33:e8:ea:68
192.168.1.1,00:17:33:e8:ea:68
192.168.1.2,00:21:9b:89:50:46
192.168.1.4,00:19:66:85:59:f2
# tshark -r test.pcap -nn -Tfields -e ip.src -e http.user_agent -R "http.user_agent"|sort|uniq
Différents navigateurs
192.168.1.4
Mozilla/5.0 (X11; Linux i686; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
VVT 2011
Page 25
[email protected]
Statistiques
tcptrace
# tcptrace -n -b test.pcap
TCP connection info:
1: 192.168.1.4:24800
2: 192.168.1.4:57079
3: 192.168.1.4:57080
4: 192.168.1.4:57081
5: 192.168.1.4:57082
6: 192.168.1.4:57083
7: 192.168.1.4:57084
-
192.168.1.2:1025 (a2b)
15> 8<
174.142.230.146:80 (c2d) 92> 146<
174.142.230.146:80 (e2f) 61> 92<
174.142.230.146:80 (g2h) 25> 29<
174.142.230.146:80 (i2j) 48> 67<
174.142.230.146:80 (k2l) 38> 54<
174.142.230.146:80 (m2n) 48> 79<
# tcptrace -n -o2 -l test.pcap
Détails (long) du flux n° 2
# tcptrace -n -o2 -P test.pcap
Détails (long) des différents paquets composants le flux n°2
# tcptrace -n -xtraffic test.pcap
Écrit les fichiers de stats traffic_byport.dat et traffic_stats.dat. Exemple de traffic_byport.dat :
Overall totals by port
TOTAL
bytes:
Port 80
bytes:
Port 1025 bytes:
Port 24800 bytes:
Port 57079 bytes:
Port 57080 bytes:
Port 57081 bytes:
683928
682840
1088
1088
212927
136448
40415
pkts:
pkts:
pkts:
pkts:
pkts:
pkts:
pkts:
VVT 2011
802 conns:
779 conns:
23 conns:
23 conns:
238 conns:
153 conns:
54 conns:
7
6
1
1
1
1
1
tput:
tput:
tput:
tput:
tput:
tput:
tput:
34196 B/s
34142 B/s
54 B/s
54 B/s
10646 B/s
6822 B/s
2020 B/s
Page 26
[email protected]
Statistiques
conchart
http://myoss.belgoline.com/conchart/download-and-support
# ./conchart -r test.pcap -o test.svg
File: ../test.pcap
T0 = 1308487276.93199 s
0s
2.017 s
4.034 s
6.051 s
8.068 s
10.085 s
12.102 s
14.119 s
16.136 s
18.153 s
20.17 s
TCP 192.168.1.2:1025
192.168.1.4:24800
TCP 174.142.230.146:80
192.168.1.4:57079
192.168.1.4:57080
192.168.1.4:57081
192.168.1.4:57082
192.168.1.4:57083
192.168.1.4:57084
UDP 192.168.1.1:53
UDP 239.255.255.250:1900
UDP 224.0.0.251:5353
192.168.1.4:49079
Wouter Godefroy
Godefroy -- 2010
2010
Wouter
Legend:
Connection
Client Sent Data
TCP Reset Packet
Server&Service Group
Server Sent Data
TCP Retransmit Packet
VVT 2011
Page 27
[email protected]
Voir aussi
Outil
argus
Exemples
argus -r test.pcap -w -|ra -L0
Remarques
Argus comprend des tas d'outils d'analyse
VVT 2011
Page 28
[email protected]
Analyses & investigations
VVT 2011
Page 29
[email protected]
Netwitness Investigator
VVT 2011
Page 30
[email protected]
NTop
# ntop -f fichier.pcap
VVT 2011
Page 31
[email protected]
Snort
# snort -c snort.conf -r fichier.pcap
VVT 2011
Page 32
[email protected]
Etherape
# etherape -n -r fichier.pcap
VVT 2011
Page 33
[email protected]
Rumint
VVT 2011
Page 34
[email protected]
Ggobi
Prend des cvs en entrée. Donc préalablement extraire des vues pcap à l'aide de tshark -Tfields
VVT 2011
Page 35
[email protected]
Inetvis
VVT 2011
Page 36
[email protected]
Cartographie avec AfterGlow et Graphviz
Extraction des champs à cartographier
# tshark -r test.pcap -nn -e ip.src -e eth.src -Tfields -E separator=, -R ip > ip_mac.csv
# tshark -r test.pcap -nn -e ip.dst -e eth.dst -Tfields -E separator=, -R ip >> ip_mac.csv
Nettoyage des données
#cat ip_mac.csv | sort | uniq > ip_mac_distincts.csv
Création du graph avec AfterGlow
#cat ip_mac_distincts.csv | ./afterglow.pl -t > graph_ip_mac.dot
Création de l'image du graph avec Graphviz
#neato -T png -o graph_ip_mac.png graph_ip_mac.dot
Passerelle
Source : davix
VVT 2011
Page 37
[email protected]
Analyse & investigation
# p0f -N -s test.pcap > os_map_raw.csv
Nettoyage des données
# cat os_map_raw.txt | sed "s/ (up.*$//" | sed "s/:[0-9]* - /,/" | sort | uniq > os_map.csv
#cat os_map.csv | ./afterglow.pl -t > graph_os.dot
#neato -T png -o graph_os.png graph_os.dot
Source : davix
VVT 2011
Page 38
[email protected]
Extraction des champs à cartographier
# tshark -r test.pcap -nn -e ip.src -e ip.dst -Tfields -E separator=, -R ip > ip_src_dst_raw.csv
Suppression des données dupliquées
#cat ip_src_dst_raw.csv | sort -u > ip_src_dst.csv
#cat ip_src_dst.csv | ./afterglow.pl -t -c src_dst.properties > graph_ip_src_dst.dot
#neato -T png -o graph_ip_src_dst.png graph_ip_src_dst.dot
src_dst.properties :
color.source="lightblue" if ($fields[0]=~/^0\.0\.0\.0$/);
color.source="lightblue" if ($fields[0]=~/^.*\..*\..*\.255$/);
color.source="palegreen" if ($fields[0]=~/^192\.168\..*\..*/);
color.source="lightsalmon"
size.source=$sourceCount{$sourceName};
maxnodesize=1;
color.target="lightblue" if ($fields[1]=~/^0\.0\.0\.0$/);
color.source="lightblue" if ($fields[1]=~/^.*\..*\..*\.255$/);
color.target="palegreen" if ($fields[1]=~/^192\.168\..*\..*/);
color.target="lightsalmon"
size.target=$targetCount{$targetName}
VVT 2011
Source : davix
Page 39
[email protected]
Pas vraiment de limites...
VVT 2011
Page 40
[email protected]
Voir aussi
Outil
Exemples
Remarques
lneato
lneato graph.dot
Visualisation interactive de graphs
ip-link
un tas de scripts python
Visualisations ploticus, graphviz, moowheel, histogrammes, etc.
p0f
p0f -N -s test.pcap
Détection passive de systèmes d'exploitation
http://ip-link.wikidot.com/tutorial
VVT 2011
Page 41
[email protected]
Extractions
VVT 2011
Page 42
[email protected]
Méfi...
Code Pénal
Art. 226-13:
La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction
ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende.
Art. 226-17:
Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34
de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.
Art. 226-22:
Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de
traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de
sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq
ans d'emprisonnement et de 300 000 Euros d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100
000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut
être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.
Loi 78-17 du 6 janvier 1978
Art.34 :
Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le
traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés
Les PCAPset- des
VVTlibertés,
2011 peuvent fixer les prescriptions techniques
y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique
auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8.
VVT 2011
Page 43
[email protected]
Extractions
wireshark
VVT 2011
Page 44
[email protected]
Extractions
tcptrace
# tcptrace -n -b test.pcap
TCP connection info:
1: 192.168.1.4:24800
2: 192.168.1.4:57079
3: 192.168.1.4:57080
4: 192.168.1.4:57081
5: 192.168.1.4:57082
6: 192.168.1.4:57083
7: 192.168.1.4:57084
-
192.168.1.2:1025 (a2b)
15> 8<
174.142.230.146:80 (c2d) 92> 146<
174.142.230.146:80 (e2f) 61> 92<
174.142.230.146:80 (g2h) 25> 29<
174.142.230.146:80 (i2j) 48> 67<
174.142.230.146:80 (k2l) 38> 54<
174.142.230.146:80 (m2n) 48> 79<
# tcptrace -n -o2 -e test.pcap
Extrait le contenu échangé dans le flux :
●
fichier d2c_contents.dat pour les échanges c -> d
●
fichier c2d_contents.dat pour les échanges d -> c
VVT 2011
Page 45
[email protected]
Extractions
Xplico
# xplico -m pcap -f fichier.pcap
# xplico -m pcap -d /rep/plein/de/pcaps
VVT 2011
Page 46
[email protected]
Extractions
Extraction de mots de passe
Et bien d'autres outils encore ...
VVT 2011
Page 47
[email protected]
Extractions
Extractions audio
VVT 2011
Page 48
[email protected]
Extractions
Extraction de contenus
- images / multimédia
- fichiers (office, zip, etc.)
- cookies
- URLs (avec aussi les GET)
- mails (POP3, IMAP, SMTP)
- etc.
VVT 2011
Page 49
[email protected]
Voir aussi
Outil
Exemples
Remarques
tcpick
tcpick -r fichier.pcap -wR
Crée des fichiers de données, par connexion client/serveur
tcpflow
tcpflow -r fichier.pcap
Crée des fichiers de données, par connexion client/serveur
foremost
foremost fichier.pcap
Détecte des formats de fichiers connus et les extrait (forensic)
Pcap Forensics Tool
python pcap.py -f fichier.pcap
http://www.malforge.com/node/32
chaosreader
chaosreader fichier.pcap
Ré-assemble les fichiers de flux
VVT 2011
Page 50
[email protected]
Modifications et injections
VVT 2011
Page 51
[email protected]
Voir aussi
Outil
Exemples
Remarques
tcprewrite
tcprewrite --smac 00:01:02:03:04:05,a0:a1:a2:a3:a4:a5 --infile=file.pcap
--outfile=res.pcap
Modifie les paquets
tcpprep
tcpprep --port --pcap=file.pcap --cachefile=file.cache
Sépare les flux client et serveur
tcpreplay
tcpreplay --pps=2 --intf1=eth0 res.pcap
Réinjecte dans le réseau
VVT 2011
Page 52
[email protected]
Aller plus haut
VVT 2011
Page 53
[email protected]
Livres
VVT 2011
Page 54
[email protected]
Distros
http://www.secviz.org/
VVT 2011
Page 55
[email protected]
Challenges
https://www.honeynet.org/challenges
https://www.evilfingers.com/repository/pcaps_challenge.php
etc.
VVT 2011
Page 56
[email protected]
Échantillons de pcaps
http://wiki.wireshark.org/SampleCaptures
ftp://wireshark.org/automated/captures/
http://packetlife.net/captures/
pcapr, where pcaps come alive
http://www.pcapr.net/home
"2009 Inter-Service Academy Cyber Defense Competition"
http://www.itoc.usma.edu/research/dataset/index.html
Digital Evaluation and Exploitation Department of Computer Science, Naval Postgraduate School
http://domex.nps.edu/corp/scenarios/2009-m57/net/
http://www.ist-mome.org/database/MeasurementData/?cmd=databrowse
http://cctf.shmoo.com/data/
http://mail.im.tku.edu.tw/~miller.lai/pcap/pcapList.php
VVT 2011
Page 57
[email protected]
Conclusion
LES PCAPs C'EST BON
MANGEZ-EN !
VVT 2011
Page 58
[email protected]
Merci
Des questions ?
VVT 2011
Page 59
[email protected]

PCAPs - CESAR

Transcription

Documents pareils

Dossier de presse publié lors de la venue de la 241-P-30 à St

Les pérégrinations de la «241 P 30

Comment internationaliser son cursus

Le crossover(2)

1-800-567-JARO (5276) www.hotelsjaro.com Les Hôtels JARO

LE FOL Julien 32 boulevard de l`hôpital 75005

lancia flavia

M. ASTOIN M. BENAC Paul-Simon, René, Louis M. BENMUSSA