14.06.2015 @ 0:21 Анализ сетевого трафика с помощью утилиты NetworkMiner networkminer, penetration testing, wireshark Недавно, при обсуждении в одном чате вопроса: как из Wireshark вытащить файл, всплыла утилита NetworkMiner. Пообщавшись с коллегами и по гуглив в Интернете, я сделал вывод, что об этой утилите знает не так много народу. Так как утилита в разы упрощает жизнь исследователя/пентестера, то исправляю этот недостаток и расскажу сообществу о том, что же такое NetworkMiner. NetworkMiner – утилита для перехвата и анализа сетевого траффика между хостами локальной сети, написанная под ОС Windows (но также работает в Linux, Mac OS X, FreeBSD). NetworkMiner может быть использована в качестве пассивного сниффера сетевых пакетов, анализ которых позволит обнаружить фингерпринт операционных систем, сессий, хостов, а также открытые порты. NetworkMiner также позволяет анализировать PCAP файлы в автономном режиме и восстановить передаваемые файлы и сертификаты безопасности. Официальная страница утилиты: http://www.netresec.com/?page=Networkminer И так, приступим к рассмотрению. Утилита доступна в двух редакциях: Free и Professional (стоимость 700 USD). В редакции Free доступны следующие опции: перехват траффика; разбор PCAP файла; прием PCAP файла по IP; определение ОС. В редакции Professional добавляются опции: разбор PcapNG файла, Определение протокола порта, Экспорт данных в CSV / Excel, Проверка DNS имен по сайту http://www.alexa.com/topsites, Локализация по IP, Поддержка командной строки. В данной статье рассмотрим опцию разбор PCAP файла, полученного от Wireshark. Но для начала установим NetworkMiner в Kali Linux. По умолчанию, пакеты Mono уже стоят в KaliLinux, но если они не установлены, то выполняем следующее действие: sudo apt-get install libmono-winforms2.0-cil Далее скачиваем и устанавливаем NetworkMiner wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip sudo unzip /tmp/nm.zip -d /opt/ cd /opt/NetworkMiner* sudo chmod +x NetworkMiner.exe sudo chmod -R go+w AsscodebledFiles/ sudo chmod -R go+w Captures/ Чтобы запустить NetworkMiner используем следующую команду: mono NetworkMiner.exe Далее запустим Wireshark, соберем траффик в нашей локальной сети и сохраним в файл PCAP. Для информации. Пять минут перехвата траффика у себя в тестовой сети собрало более 30 000 различных пакетов. Как понимаете, анализировать такой трафик достаточно трудоемко и по времени затратно. Wireshark обладает встроенными фильтрами и достаточно гибок, но что делать когда надо быстро проанализировать траффик, не изучая всего многообразия Wireshark? Попробуем посмотреть какую информацию нам предоставит NetworkMiner. Открываем полученный PCAP в NetworkMiner. Понадобилось меньше минуты, чтобы проанализировать дамп траффика из более 30 000 пакетов. На вкладке Hosts приводится список всех хостов, участвующих в формирование траффика, с детальной информацией по каждому хосту: На вкладке Frames, трафик приводится в виде пакетов с информацией по каждому уровню модели OSI (Канальному, Сетевому и Транспортному). Следующая вкладка Credentials покажет перехваченные попытки авторизации в открытом виде. Вот так потратив меньше минуты можно из большого дампа трафика сразу получить логин и пароль на авторизацию. Я это делал на примере своего роутера. И еще одна вкладка, которая облегчает получение данных из трафика – это Files. В нашем примере мне попался pdf файл, который можно сразу открыть и посмотреть. Но больше всего я удивился, когда обнаружил в дампе трафика — txt файл, как оказалось от моего роутера DIR-620. Так вот этот роутер, при авторизации на нем, передает в текстовом виде все свои настройки и пароли, в том числе от WPA2. В итоге, утилита оказалась довольно интересная и полезная. Тебе, дорогой читатель, отдаю на прочтение данную статью, а я пошел покупать новый роутер. Dmitry 36659 Penetration testing Читать дальше >>