Tạo GeoIP map report với Wireshark

Thảo luận trong 'Infrastructure security' bắt đầu bởi DDos, 15/01/14, 03:01 PM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,738
    Đã được thích: 398
    Điểm thành tích:
    83
    Nếu bạn cần tạo một bản báo cáo điều tra khi bạn tham gia vào việc xử lý một sự cố. Trong trường hợp này, một lựa chọn tốt có thể là tạo ra một bản đồ với các kết nối được thiết lập trong sự cố này. Hoặc có thể bạn muốn nhìn trên bản đồ nơi các lệnh một server tạo ra hay các quốc gia phát tán tấn công từ chối dịch vụ.

    Để đạt được mục đích này, bạn có thể thực hiện bằng cách tạo ra một bản đồ sử dụng Wireshark. Trong bài này, mình sẽ sử dụng phiên bản mới nhất của Wireshark là 1.10.2.

    Việc đầu tiên bạn cần là tải về cơ sở dữ liệu GeoIP: GeoLite City, Countruy và ASNum từ liên kết dưới đây:
    http://dev.maxmind.com/geoip/legacy/geolite/

    [​IMG]

    Sau đó, bạn lưu chúng vào cùng một folder. Ví dụ: C:Geoip

    [​IMG]

    Bây giờ, chúng ta cần chỉ dẫn cho Wireshark nơi mà chúng ta lưu các tệp tin GeoIP. Để làm điều này, bạn cần mở Wireshark đi tới Edit -> Preferences -> Name Resolution và click vào Edit trong đường dẫn của cơ sở dữ liệu của GeoIP.

    [​IMG]

    và tạo một đường dẫn mới nơi files được lưu.

    [​IMG]

    Sau đó, bạn khởi động lại Wireshark để thực hiện các thay đổi ở trên. Bây giờ, bạn chỉ cần load một file PCAP hoặc tạo quá trình chụp gói tin mới. Khi tất cả các gói tin đã được chụp và bạn muốn tạo ra bản đồ với các kết nối tham gia trong một sự cố nào đó, bạn cần đi tới Statistics -> Endpoints

    [​IMG]

    chọn tab IPv4 và click vào map. Chú ý rằng ví dụ nếu bạn muốn lọc các gói tin UDP mà nó có liên quan tới malware, bạn lựa chọn "Limit to display filter" để in ra các kết nối này trên bản đồ. Sau đó click vào map.

    [​IMG]

    Cuối cùng, chúng ta cần một bản đồ động với các kết nối trên bản đồ. Trong trường hợp này, mình sử dụng file PCAP liên quan tới tấn công tới php.net, bạn có thể download file PCAP dưới đây:
    HTML:
    https://www.mediafire.com/?fg3gruukd6xgvmv
    [​IMG]
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    linh24 and Itto Nguyễn like this.