Resumo. Este artigo apresenta uma análise previa do tráfego de uma rede de computadores usando Xplico com um arquivo salvo anteriormente utilizando a ferramenta tcpdump. Atualmente, a ferramenta tcpdump não possui uma interface amigável dificultando muito em casos de análise em tráfegos intensos. A utilização do Xplico facilita muito a vida de qualquer administrador de sistemas permitindo por meio de acesso WEB obter e analisar o tráfego que estará dividido por categoria.
1. Introdução
O Xplico extrai de um arquivo pcap ou pode fazer a mesma analise em tempo real informações como: email (POP, IMAP e SMTP), HTTP, VoIP (SIP e RTP), FTP, TFTP etc. Considerado pelos seus desenvolvedores um NFAT - Network Forensic Analysis Tool e não um analisador de protocolo de rede, vem sobre a licença GPL e é open source. Neste artigo estaremos analisando o tráfego salvo em um arquivo pcap utilizando a ferramenta tcpdump, à análise em tempo real utilizando o Xplico não está em um nível de maturidade aceitável, sendo apenas interessante em um espaço curto de tempo e em redes de pequeno porte, por motivos de demonstração que a equipe de desenvolvedores adicionou essa funcionalidade no Xplico.
O Xplico é um sistema de 4 componentes:
Ø DeMa: é o gerenciador de decodificação
Ø Xplico: decodificador IP
Ø Um conjunto de manipuladores de dados
Ø Um sistema de visualização dos dados
No site oficial você pode ver os screenshots do XI (Xplico Interface), que é a ferramenta web de visualização do Xplico. Segue abaixo alguns screenshots:
Iremos utilizar o BackTrack - distribuição com foco em testes de segurança e testes de penetração – que já vem com o Xplico no repositório oficial da distro. O Xplico vem por padrão também na distro Deft que é um live CD para analise forensic.
No BTR2 (BackTrack 4 Release 2) o Xplico já veio instalado, qualquer problema é só usar a ferramenta aptitude para instalar o pacote. Abaixo segue o procedimento para iniciar o Xplico:
1 - Inicie o Apache2
/etc/init.d/apache2 start
2 - Inicie o Xplico
/etc/init.d/xplico start
Obs: o serviço estará escutando na porta 9876 de loopback (127.0.0.1)
Por padrão temos dois usuários no sistema para acessar o Xplico: o xplico com senha xplico e o admin com senha xplico. Neste artigo estaremos analisando um arquivo pcap de 30MB, para salvar este arquivo utilizei o comando tcpdump como mostra abaixo:
# tcpdump -i eth0 -vvv -s0 -S -XX -A -w saida.pcap
Vamos logar com o usuário xplico e depois clique em “New Case” como mostra a figura abaixo, isso é necessário pra criar um caso, toda atividade será analisada conforme o caso em questão:
Preencha os campos como mostra na figura e deixe marcada a opção “Uploading PCAP...”. A opção “Live acquisition” permite com que façamos uma analise em tempo real, que não é o caso deste artigo. Clique em “Create” e na próxima tela aparecerá listado os casos criados, clique em “Analise de trafego” e depois em “New Session” e dê um nome para a sessão, no meu caso usei o nome “Analise”, para cada Case você poderá ter várias Session para analisar diversas anomalias em momentos diferentes, depois clique sobre “Analise” e aparecerá como mostra a figura abaixo:
Na aba “Pcap set” você pode fazer o upload do arquivo pcap, porém esta opção suporta por padrão o upload de arquivos de até 2 MB, isso pode ser reconfigurado, se o arquivo for maior do que 2 MB use a opção “SFTP uploading big pcap files”. Coloque o mouse em cima da opção “SFTP uploading big pcap files”, porém não clique em cima, olhe no canto inferior esquerdo o caminho para onde o arquivo será copiado, veja a figura abaixo:
Agora abra o Konqueror no caminho /opt/xplico/pol_1/sol_1/new e copie seu arquivo pcap, espere alguns segundos que o xplico ira decodificar o arquivo e depois carregara todas as informações separadas co por categoria, veja na figura abaixo um resumo feito pelo Xplico depois de decodificar nosso arquivo:
Veja que tudo foi separado por categoria, tornando bem fácil para possíveis analises. Fazendo uma rápida analise no quadro HTTP, percebemos a presença de 29 Posts, 1826 Gets, 4 Vídeos e 958 Imagens. Na aba esquerda podemos ter mais detalhes sobre esses acessos, como: sites visitados, hora e data do acesso, tipo de requisição, se houve tentativa de SQLi ou outro ataque usando URL, entre outros. Vamos analisar com mais detalhes os acessos web, para isso na aba esquerda clique sobre WEB e depois em SITE, veja figura abaixo:
Podemos ver que no dia 17/08/2011 as 11h07min (linha 6) houve uma tentativa de ataque conhecida como LFI e no mesmo dia as 11h06min (linha 9) houve uma tentativa de ataque de SQL injection. Para obter mais informações basta clicar sobre o GET correspondente ou no info.xml. Veja que podemos também filtrar nossa pesquisa conforme interesse, onde temos as opções Image, Flash, Vídeo, Audio, All e Html que é o padrão.
2. Conclusões
O Xplico possui uma funcionalidade muito interessante, a capacidade de extrair de pacotes (.pcap) dados de aplicações de uma forma que qualquer usuário posso ler e entender, Ele é um analisador de protocolos de rede, e uma ferramenta de análise forense (Network Forensic Analysis Tool (NFAT), que é capaz de interpretar quase todos os protocolos mais usados e capturados de forma prática e visual.
ajudou muito
ResponderExcluir