Představení a instalace Netsniff
A čichač je nástroj, který se používá k zachycení provozních paketů ze sítě a k jejich živé analýze, když dojde k použití jedné nebo více sítí, dekóduje je podle specifikací protokolu, který může být TCP, ICMP nebo jiný. Software Netsniff-ng je sada nástrojů, je zdarma a funguje pod Linuxem.
Jeho výkon je velmi vysoký, protože pracuje z příkazového řádku, takže příjem a přenos paketů se provádí přímo v paměti počítače nebo serveru. Netsniff-ng byl vytvořen jako vyhledávač sítě být začleněn do jádra Linuxu pro síťové balíčky.
Netsniff-ng, zachyťte veškerý provoz v reálném čase a generuje soubory ve formátu pcap, které lze poté analyzovat pomocí softwaru Wireshark. Nástroj netsniff-ng je k dispozici pro všechny distribuce operačních systémů, jako je Linux Ubuntu, Debian, Fedora a jejich deriváty. Můžeme jej také najít ve specifických distribucích pro forenzní úkoly.
Předpokládáme, že v tomto tutoriálu bude Ubutnu distro testovat a uvidíme dva způsoby instalace, jeden z repozitářů:
sudo apt-get install netsniff-ng
Dalším způsobem instalace je stáhnout aplikaci z oficiálního webu http: //pub.netsniff-… rg / netsniff-ng / a rozbalit a poté přistoupit ke složce a spustit následující příkazy:
sh ./configure make sudo make installDále uvidíme, jak zachytit provoz, k tomu musíme přiřadit síťové rozhraní, které chceme analyzovat, například eth0 pro kabelové připojení wlan0 pro wifi, proto použijeme následující příkazy:
sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap
Používáme -tyt uložit všechny záběry do souboru pcap, který pak můžeme otevřít pomocí Wireshark. Pojďme k nabídce Soubor> Otevřít a importujeme soubor pcap, který jsme vygenerovali.
Poté můžeme začít analyzovat, například budeme hledat provoz generovaný na stránku Solvetic.
Vidíme, že ze síťového rozhraní eth0 procházel přes http, na stránce tutoriálů Solvetic je také vidět, že to bylo provedeno z Chromu a jaká je IP, ze které bylo procházeno.
Nástroj umožňuje zachytávání paketů ze zařízení připojeného k síti a vytváření souborů se všemi PCAP, tento soubor se zachycení lze také použít k zachycení pouze jednoho protokolu, který nás zajímá, například TCP, to znamená, že zachycujeme pouze provoz, který vstupuje přes rozhraní eth0 a odešle jej do souboru.
netsniff -ng -in eth0 -out pasti -tcp -eth0.pcap -s tcp
Vidíme, že v tomto případě zachycujeme všechny pakety, které používají protokoly TCP a HTTP, které jsou přenášeny přes síťové rozhraní eth0. Pomocí parametru označujeme, že zachycený provoz bude uložen do souboru pcap, mohli bychom také označit jiné síťové rozhraní pro přesměrování provozu z jedné sítě do druhé.
PředchozíStránka 1 ze 3další
