Introductie en installatie van Netsniff
EEN snuffelaar is een tool die wordt gebruikt om verkeerspakketten van een netwerk vast te leggen en de pakketten live te analyseren terwijl het gebruik van een of meer netwerken plaatsvindt, het decodeert ze volgens de specificaties van het protocol dat TCP, ICMP of een ander kan zijn. De Netsniff-ng-software is een set tools, het is gratis en werkt onder Linux.
De prestaties zijn zeer hoog omdat het vanaf de opdrachtregel werkt, zodat de ontvangst en verzending van pakketten rechtstreeks in het geheugen van de computer of server wordt uitgevoerd. Netsniff-ng is gemaakt als een netwerksniffer worden opgenomen in de Linux-kernel voor netwerkpakketten.
Netsniff-ng, leg al het verkeer in realtime vast en genereert bestanden in pcap-formaat die vervolgens kunnen worden geanalyseerd met Wireshark-software. De netsniff-ng-tool is beschikbaar voor alle distributies van besturingssystemen, zoals Linux Ubuntu, Debian, Fedora en hun afgeleiden. We kunnen het ook vinden in specifieke distributies voor forensische taken.
We gaan uit van een Ubutnu-distro om in deze tutorial te testen en we zullen twee manieren van installatie zien, één vanuit de repositories:
sudo apt-get install netsniff-ng
De andere manier van installeren is om de applicatie te downloaden van de officiële website http://pub.netsniff-… rg / netsniff-ng / en unzip en open vervolgens de map en voer de volgende opdrachten uit:
sh ./configure make sudo make installVervolgens zullen we zien hoe we verkeer kunnen vastleggen, hiervoor moeten we de netwerkinterface toewijzen die we willen analyseren, bijvoorbeeld eth0 voor een wlan0-kabelverbinding voor wifi, daarom zullen we de volgende opdrachten gebruiken:
sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap
We gebruiken --out om alle opnames op te slaan in een pcap-bestand dat we vervolgens kunnen openen met Wireshark. Laten we naar het menu gaan Bestand> Openen en we importeren het pcap-bestand dat we hebben gegenereerd.
Dan kunnen we beginnen met analyseren, we gaan bijvoorbeeld op zoek naar verkeer dat naar de Solvetic-pagina wordt gegenereerd.
We kunnen aan de eth0-netwerkinterface zien dat het door http aan het browsen was, op de Solvetic-zelfstudiepagina kan ook worden gezien dat het vanuit Chrome is gedaan en wat het IP-adres is van waaruit het is gebladerd.
Met de tool kunnen pakketten worden vastgelegd van een apparaat dat op een netwerk is aangesloten en bestanden maken met alle PCAP. Dit bestand met opnames kan ook worden gebruikt om slechts één protocol vast te leggen dat ons interesseert, bijvoorbeeld TCP, dat wil zeggen dat we alleen verkeer vastleggen dat komt binnen via de interface eth0 en stuurt het naar een bestand.
netsniff-ng -in eth0 -out traps-tcp-eth0.pcap -s tcp
We kunnen zien dat we in dit geval alle pakketten vastleggen die gebruikmaken van de TCP- en HTTP-protocollen die worden overgedragen via de eth0-netwerkinterface. Met behulp van de parameter geven we aan dat het vastgelegde verkeer wordt opgeslagen in het pcap-bestand, we kunnen ook een andere netwerkinterface aangeven om het verkeer van het ene netwerk naar het andere om te leiden.
VorigPagina 1 van 3Volgende