Przechwytuj i analizuj ruch sieciowy za pomocą Netsniff

Wprowadzenie i instalacja Netsniff

A wąchać to narzędzie, które służy do przechwytywania pakietów ruchu z sieci i analizy pakietów na żywo podczas korzystania z jednej lub więcej sieci, dekoduje je zgodnie ze specyfikacją protokołu, którym może być TCP, ICMP lub inny. Oprogramowanie Netsniff-ng to zestaw narzędzi, jest bezpłatny i działa pod Linuksem.

Jego wydajność jest bardzo wysoka, ponieważ działa z linii poleceń, dzięki czemu odbiór i transmisja pakietów odbywa się bezpośrednio w pamięci komputera lub serwera. Netsniff-ng został stworzony jako sniffer sieci do włączenia do jądra Linux dla pakietów sieciowych.

Netsniff-ng, przechwytywanie całego ruchu w czasie rzeczywistym i generuje pliki w formacie pcap, które można następnie analizować za pomocą oprogramowania Wireshark. Narzędzie netsniff-ng jest dostępne dla wszystkich dystrybucji systemów operacyjnych, takich jak Linux Ubuntu, Debian, Fedora i ich pochodnych. Możemy go również znaleźć w konkretnych dystrybucjach do zadań kryminalistycznych.

Przyjmiemy dystrybucję Ubutnu do przetestowania w tym samouczku i zobaczymy dwa sposoby instalacji, jeden z repozytoriów:

 sudo apt-get zainstaluj netsniff-ng

Innym sposobem instalacji jest pobranie aplikacji z oficjalnej strony http://pub.netsniff-… rg/netsniff-ng/ i rozpakowanie a następnie dostęp do folderu i uruchomienie następujących poleceń:

 sh ./configure make sudo make install
Następnie zobaczymy, jak przechwytywać ruch, w tym celu musimy przypisać interfejs sieciowy, który chcemy analizować, na przykład eth0 dla połączenia kablowego wlan0 dla Wi-Fi, dlatego użyjemy następujących poleceń:
 sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap 

Używamy --out aby zapisać wszystkie zrzuty w pliku pcap, który możemy następnie otworzyć za pomocą Wireshark. Przejdźmy do menu Plik> Otwórz i importujemy wygenerowany przez nas plik pcap.

Następnie możemy przystąpić do analizy, np. poszukamy ruchu generowanego na stronę Solvetic.

Widzimy, że z interfejsu sieciowego eth0 przeglądał http, na stronie samouczków Solvetic widać też, że robił to z Chrome i jaki jest IP z którego był przeglądany.

Narzędzie pozwala na przechwytywanie pakietów z urządzenia podłączonego do sieci i tworzenie plików z wszystkimi PCAP, ten plik z przechwyceniami można również wykorzystać do przechwytywania tylko jednego interesującego nas protokołu np. TCP, czyli przechwytujemy tylko ruch, który wchodzi przez interfejs eth0 i wysyła go do pliku.

 netsniff-ng -in eth0 -out traps-tcp-eth0.pcap -s tcp 

Widzimy, że w tym przypadku przechwytujemy wszystkie pakiety korzystające z protokołów TCP i HTTP, które są przesyłane przez interfejs sieciowy eth0. Za pomocą parametru wskazujemy, że przechwycony ruch zostanie zapisany w pliku pcap, możemy również wskazać inny interfejs sieciowy, aby przekierować ruch z jednej sieci do drugiej.

PoprzedniStrona 1 z 3Następny

wave wave wave wave wave