Honeysnap – Pcap Paket Ayrıştırma Aracı
Honeysnap, pcap formatında kaydedilmiş network trafiğini analiz eden bir komut satırı aracıdır.
Pratik kullanımı ve yüksek öneme sahip bir çok protokolü desteklemektedir.Birden çok pcap dosyasını aynı anda analiz edebilmekte.
Unix/linux ve BSD sistemlerde komut satırından çalışan bu araç, Sebek, HoneyD gibi tuzak sistemler hazırlayan HoneyNet.org ekibinin bir projesi.
Şu an desteklediği protokoller;
- DNS
- FTP
- HTTP
- IRC
- Socks
- Sebek
Örnek bazı fonksiyonları ;
- Paket ve bağlantı özeti
- Binary dosya ayrıştırma
- ASCII tabanlı ayrıştırma
- Gelen ve giden bağlantıların akış özeti
- IRC trafiğini yorumlama ve ayrıştırma
- Bir çok internet protokolünü ayrıştırma
- Socks decode
Kurulum
Gerekli yazılım ve kütüphanelerin kurulumu ;
$ apt-get install python2.4-dev
$ apt-get install libpcap0.8 libpcap0.8-dev
$ wget https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/pypcap-1.1.tar.gz
$ tar xvzf pypcap-1.1.tar.gz
$ cd pcap-1.1
$ python setup.py install
Honeysnap download adresi = https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/honeysnap-1.0.6.14.tar.gz
$ tar xvzf honeysnap-1.0.6
$ cd honeysnap-1.0.6
$ python setup.py install
Yukarıdaki adımları sorunsuz uyguladıysanız honeysnap sisteminize kurulmuş olucaktır.
Kullanımı
Honeysnap, tüm ayarlarını honeynet.cfg dosyasında tutar.
Yapacağınız analiz şekline göre .cfg dosyasını düzenlemeniz gerekmektedir.
root@pentester:~/honeysnap-1.0.6.14#honeysnap -h
Usage: honeysnap [options]
Options:
–version show program’s version number and exit
-h, –help show this help message and exit
-c CONFIG, –config=CONFIG
Config file
-f FILE, –file=FILE Write report to FILE
-o DIR, –output=DIR Write output to DIR, defaults to ‘output’
-H HONEYPOTS, –honeypots=HONEYPOTS
……………………
Örnek uygulamalar ;
Pcap dosyasından network aktiviteleri hakkında istatiksel veri almak için ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -c honeynet.cfg zararziyan.pcap
Birden çok pcap dosyasını analiz etmek için ;
honeysnap -c honeysnap.cfg zararziyan.pcap zararziyan2.pcap zararziyan3.pcap
Bir host’a ait trafik bilgilerini almak için ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 zararziyan.pcap
Analysing file: zararziyan.pcap
Pcap file information:
File name: zararziyan.pcap
Number of packets: 2768
File size: 505559 bytes
Data size: 461247 bytes
Capture duration: 38.024023056 seconds
Start time: Tue Jan 19 10:52:25 2010
End time: Tue Jan 19 10:53:03 2010
Data rate: 12130.4102756 bytes/s
Data rate: 97043.2822051 bits/s
Average packet size: 166.635476879 bytes
Not:birden fazla host için trafiği analiz edicekseniz -HIP,IP2,IP3 şeklinde kullanabilirsiniz.
Bir host’a ait HTTP trafiğini ayrıştırmak ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-http zararziyan.pcap
HTTP summary for 192.168.5.202
requested_files:
74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/http/outgoing/default.jpg.3, filetype: image/jpeg, md5 sum: 2b94c9bf5b1717db5b31fdcbd3a31036
74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010
Bir Host’a ait FTP trafiğini ayrıştırmak ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-ftp zararziyan2.pcap
Analysing file: zararziyan2.pcap
Pcap file information:
File name: zararziyan2.pcap
Number of packets: 11620
File size: 10981775 bytes
Data size: 10795831 bytes
Capture duration: 98.1785218716 seconds
Start time: Tue Jan 19 12:11:01 2010
End time: Tue Jan 19 12:12:40 2010
Data rate: 109961.22975 bytes/s
Data rate: 879689.837997 bits/s
Average packet size: 929.0732358 bytes
Extracting from FTP
FTP summary for 192.168.5.202
requested_files:
192.168.5.202 requested perl5-Curl.tar.gz from 89.19.25.155 (Unknown, Unknown) at Tue Jan 19 12:11:16 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/ftp/outgoing/perl5-Curl.tar.gz.1, filetype: application/x-gzip, md5 sum: 965958197b3fa0b768d0d1d6853c6934
0 requests served by honeypot
Desteklenen protokoller ve kullanılabilir diğer seçenekler ile analiz yapmak için ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202,192.168.5.180 –do-outgoing –do-irc –do-ftp –do-sebek –do-htp –do-outgoing -o /home/ozanus/analysis -f /home/ozanus/analysis/sonucbuiste.txt
Binary dosyayı ayıklamak ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –all-flows zararziyan2.pcap -o /root/analysis -f /root/sonucistebu.txt
root@pentester:~/honeysnap-1.0.6.14# ls /root/analysis/192.168.5.202/flows/
incoming outgoing
Bu yazı güncellenecektir.