Posts Tagged ‘ trafik analizi

Honeysnap – Pcap Paket Ayrıştırma Aracı

Honeysnap, pcap formatında kaydedilmiş network trafiğini analiz eden bir komut satırı aracıdır.
Pratik kullanımı ve yüksek öneme sahip bir çok protokolü desteklemektedir.Birden çok pcap dosyasını aynı anda analiz edebilmekte.
Unix/linux ve BSD sistemlerde komut satırından çalışan bu araç, Sebek, HoneyD gibi tuzak sistemler hazırlayan HoneyNet.org ekibinin bir projesi.
Şu an desteklediği protokoller;

  • DNS
  • FTP
  • HTTP
  • IRC
  • Socks
  • Sebek

Örnek bazı fonksiyonları ;

  • Paket ve bağlantı özeti
  • Binary dosya ayrıştırma
  • ASCII tabanlı ayrıştırma
  • Gelen ve giden bağlantıların akış özeti
  • IRC trafiğini yorumlama ve ayrıştırma
  • Bir çok internet protokolünü ayrıştırma
  • Socks decode

Kurulum

Gerekli yazılım ve kütüphanelerin kurulumu ;

$ apt-get install python2.4-dev
$ apt-get install libpcap0.8 libpcap0.8-dev
$ wget https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/pypcap-1.1.tar.gz
$ tar xvzf pypcap-1.1.tar.gz
$ cd pcap-1.1
$ python setup.py install

Honeysnap download adresi = https://projects.honeynet.org/honeysnap/attachment/wiki/WikiStart/honeysnap-1.0.6.14.tar.gz


$ tar xvzf honeysnap-1.0.6
$ cd honeysnap-1.0.6
$ python setup.py install

Yukarıdaki adımları sorunsuz uyguladıysanız honeysnap sisteminize kurulmuş olucaktır.

Kullanımı

Honeysnap,  tüm ayarlarını honeynet.cfg dosyasında tutar.

Yapacağınız analiz şekline göre .cfg dosyasını düzenlemeniz gerekmektedir.

root@pentester:~/honeysnap-1.0.6.14#honeysnap -h
Usage: honeysnap [options]

Options:
–version             show program’s version number and exit
-h, –help            show this help message and exit
-c CONFIG, –config=CONFIG
Config file
-f FILE, –file=FILE  Write report to FILE
-o DIR, –output=DIR  Write output to DIR, defaults to ‘output’
-H HONEYPOTS, –honeypots=HONEYPOTS
……………………

Örnek uygulamalar ;

Pcap dosyasından network aktiviteleri hakkında istatiksel veri almak için ;
root@pentester:~/honeysnap-1.0.6.14# honeysnap -c honeynet.cfg zararziyan.pcap

Birden çok pcap dosyasını analiz etmek için ;

honeysnap -c honeysnap.cfg zararziyan.pcap zararziyan2.pcap zararziyan3.pcap

Bir host’a ait trafik bilgilerini almak için ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 zararziyan.pcap

Analysing file: zararziyan.pcap

Pcap file information:
File name: zararziyan.pcap
Number of packets: 2768
File size: 505559 bytes
Data size: 461247 bytes
Capture duration: 38.024023056 seconds
Start time: Tue Jan 19 10:52:25 2010
End time: Tue Jan 19 10:53:03 2010
Data rate: 12130.4102756 bytes/s
Data rate: 97043.2822051 bits/s
Average packet size: 166.635476879 bytes

Not:birden fazla host için trafiği analiz edicekseniz -HIP,IP2,IP3 şeklinde kullanabilirsiniz.

Bir host’a ait HTTP trafiğini ayrıştırmak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-http zararziyan.pcap

HTTP summary for 192.168.5.202

requested_files:

74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/http/outgoing/default.jpg.3, filetype: image/jpeg, md5 sum: 2b94c9bf5b1717db5b31fdcbd3a31036
74.125.77.118 -> 192.168.5.202, i2.ytimg.com/vi/1JC1N0bGMtg/default.jpg (Mozilla/5.0 (Windows; U; Windows NT 6.1; tr; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7) at Tue Jan 19 10:52:30 2010

Bir Host’a ait FTP trafiğini ayrıştırmak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –do-ftp zararziyan2.pcap

Analysing file: zararziyan2.pcap

Pcap file information:
File name: zararziyan2.pcap
Number of packets: 11620
File size: 10981775 bytes
Data size: 10795831 bytes
Capture duration: 98.1785218716 seconds
Start time: Tue Jan 19 12:11:01 2010
End time: Tue Jan 19 12:12:40 2010
Data rate: 109961.22975 bytes/s
Data rate: 879689.837997 bits/s
Average packet size: 929.0732358 bytes

Extracting from FTP
FTP summary for 192.168.5.202

requested_files:
192.168.5.202 requested perl5-Curl.tar.gz from 89.19.25.155 (Unknown, Unknown) at Tue Jan 19 12:11:16 2010
file: /root/honeysnap-1.0.6.14/output/192.168.5.202/ftp/outgoing/perl5-Curl.tar.gz.1, filetype: application/x-gzip, md5 sum: 965958197b3fa0b768d0d1d6853c6934
0 requests served by honeypot

Desteklenen protokoller ve kullanılabilir diğer seçenekler ile analiz yapmak için ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202,192.168.5.180 –do-outgoing –do-irc –do-ftp –do-sebek –do-htp –do-outgoing -o /home/ozanus/analysis -f /home/ozanus/analysis/sonucbuiste.txt

Binary dosyayı ayıklamak ;

root@pentester:~/honeysnap-1.0.6.14# honeysnap -H192.168.5.202 –all-flows zararziyan2.pcap -o /root/analysis -f /root/sonucistebu.txt

root@pentester:~/honeysnap-1.0.6.14# ls /root/analysis/192.168.5.202/flows/
incoming  outgoing

Bu yazı güncellenecektir.

2010
01/19
POSTED BY
CATEGORY
Network Forensics
Püf Noktalar
TAGS




Write comment

Recent entry

Archive

Category

 
Hosting Sponsorumuz