Công cụ phân tích gói tin & giám sát mạng - Network Analysis Tools

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Công cụ phân tích gói tin & giám sát mạng - Network Analysis Tools
Hôm nay mình xin giới thiệu công cụ phân tích file pcap, sau khi đã capture các gói tin tại server web, hệ thống và sử dụng công cụ này để phát hiện các shell, payload của kẻ xấu đã thực hiện tấn công máy chủ.
Ngoài ra nó có thể dùng trong các cuộc thi CTF theo hình thức Attack - Defense trên hệ thống của mỗi đội.

Đầu tiên các bạn tiến hành cài đặt các thư viện hỗ trợ:
Mã:
$ pip install pyshark
$ pip install dpkt

* Nếu bạn cài pyshark bằng lệnh pip không được thì dùng lệnh dưới đây để tải về và cài đặt:
Mã:
wget https://pypi.python.org/packages/5b/5b/496a5cf470c92a8bb97da4743b78ca01dccf7823dbe4d3e1610f46abafd8/pyshark-0.3.6.2.zip
unzip pyshark-0.3.6.2.zip
cd pyshark-0.3.6.2
python setup.py install

Sau đó tải về & chạy công cụ Network Analysis Tools
Mã:
git clone https://github.com/azizaltuntas/Network-Analysis-Tools
cd Network-Analysis-Tools
python networkframework.py
Sau đây mình tiến hành phân tích demo một file pcap tấn công vào lỗ hổng SQL của Joomla CVE 2008-0514
Đây là giao diện chính của công cụ.
148993995470.JPG





Minh chọn chức năng 1 để phân tích file pcap, và điền đường dẫn đến file pcap cần phân tích
148993995471.JPG





Chọn 11 để chọn chức năng phát hiện các lỗi tấn công web, và chọn 3 để tìm các lỗi liên quan đến SQL Injection và hiển thị kết quả là payload tấn công SQL của kẻ xấu.
Ngoài ra công cụ này cũng có thể phát hiện các dạng tấn công khác như XSS, LFI.
148993995472.JPG





Chọn 6 để xem Chi tiết các kết nối.
148993995473.JPG

Hiển thị toàn bộ port đang giao tiếp
148993995416935773_1040723779364817_1752905483_o.png

Kiểm tra với lỗi LFI

*Note: nếu như các bạn nhận được file pcapng thì dùng lệnh sau để đổi sang pcap

Mã:
editcap -F pcapng file.pcapng file.pcap

Tham khảo:
http://www.kitploit.com/2017/02/netw...p-capture.html
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: toan.dm
I really need your help to install this tool,
I downloaded from github but have many errors, specially that one "import pyshark importerror: no module named pyshark"
Even I installed pyshark, but still got the same error
I'm using latest version of Parrot OS
Hope you can help me out.
Thanks.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
I really need your help to install this tool,
I downloaded from github but have many errors, specially that one "import pyshark importerror: no module named pyshark"
Even I installed pyshark, but still got the same error
I'm using latest version of Parrot OS
Hope you can help me out.
Thanks.
Please try pip install pyshark
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Please try pip install pyshark
I got this message now when I type your command

Requirement already satisfied: pyshark in /usr/local/lib/python3.8/dist-packages/pyshark-0.3.6.2-py3.8.egg (0.3.6.2)
Requirement already satisfied: lxml in /usr/lib/python3/dist-packages (from pyshark) (4.5.0)
Requirement already satisfied: py in /usr/local/lib/python3.8/dist-packages (from pyshark) (1.8.2)
ERROR: Could not find a version that satisfies the requirement trollius==1.0.4 (from pyshark) (from versions: 2.1.post2)
ERROR: No matching distribution found for trollius==1.0.4 (from pyshark)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sorry again
I reinstall my whole system OS then try to download and install your tool
Attached the new screenshots of what error I got
Hope You can help me in fix this problem

Screen 98 + 99 are following the same one of code pip install dpkt
Screen 100+ 101 are following the same one of code pip install pyshark
Screen 102 is the output of running python networkframework.py
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Sorry again
I reinstall my whole system OS then try to download and install your tool
Attached the new screenshots of what error I got
Hope You can help me in fix this problem

Screen 98 + 99 are following the same one of code pip install dpkt
Screen 100+ 101 are following the same one of code pip install pyshark
Screen 102 is the output of running python networkframework.py
using pip3 command instead of using pip
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Comment
Cho mình xin file pcap ạ !!!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Các bạn ơi có file pcap chạy được cho mình xin với!!!!!! Pcap của mình đưa vô nó k ra thông tin gì hết
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
không được luôn bạn ơi
...
khi chạy lệnh python networkframwork.py thì mình bị lỗi như này, mình nghĩ do vậy là file pcap k chạy được. Bạn hướng dẫn mình sửa với
bạn cài thêm tshark thử nhé, máy báo đang ko tìm thấy tshark
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên