Анализ файлов PCAP онлайн

Анализ PCAP онлайн

В предыдущей статье мы рассмотрели способ анализа сетевых пакетов PCAP на компьютере. Сейчас я покажу, как открыть PCAP онлайн.

Еще по теме: Анализ файлов PCAP в песочнице Windows

Анализ PCAP онлайн с помощью packagetotal.com

PacketTotal полностью бесплатен, с простым пользовательским интерфейсом, который позволяет пользователю либо перетащить свой файл PCAP в область загрузки, либо нажать кнопку «Загрузить», чтобы загрузить и автоматически проанализировать файл .pcap.

Единственное ограничение — размер загружаемого файла .pcap не должен быть более 50 МБ.

Загрузка PCAP на PacketTotal для анализа онлайн

 

Если у вас нет своего файла .pcap, скачайте образец перейдя по этой ссылки. Файл называется Testing for SQL,pcap.

Перейдите на сайт и загрузите файл нажав на кнопку Upload (Загрузить).

Загрузка PCAP на PacketTotal для анализа онлайн

Отметьте галочкой капчу.

Проверка PacketTotal reCAPTCHA

После завершения анализа, PacketTotal отобразит всю информацию о захваченном трафике.

Сверху располагаются различные вкладки

  • Malicious Activity (Вредоносная активность),
  • Suspicious Activity (Подозрительная активность),
  • Connections (Подключения)
  • и различные протоколы

Вкладка PacketTotal Suspicious Activity

Мы видим, что было обнаружено оповещение:

На вкладке Connections мы видим идентификатор соединения вместе с IP-адресами отправителя и получателя.

Вкладка PacketTotal Connections

Давайте рассмотрим еще один сайт который позволяет открыть PCAP онлайн и получить более подробную ифнормацию.

Анализ PCAP онлайн с помощью apackets.com

В качестве последнего упражнения давайте рассмотрим еще один онлайн-инструмент для анализа пакетов, доступный по адресу https://apackets.com/. Итак, приступим к упражнению:

Скачайте файл PCAP Emotet-epoch5-infection with-Cobalt-Strike-.pcap с этого сайта.

Анализ PCAP онлайн с помощью apackets.com

Нажмите кнопку «С устройства» и перейдите к загруженному файлу образца, который необходимо загрузить для анализа.

Как только A-Packets автоматически обработает и проанализирует наш файл .pcap, будет представлена очень подробная и классифицированная разбивка результатов, как показано на следующем снимке экрана:

Анализ PCAP онлайн

Если мы прокрутим немного вниз, мы должны увидеть результаты для еще большего количества результатов, включая протоколы DNS и DHCP и даже устройства Ethernet, используемые для связи:

Открыть PCAP онлайн

Если вы посмотрите на меню слева от страницы, вы заметите несколько вкладок, некоторые из которых могут иметь номера рядом с каждой вкладкой. Они указывают количество выводов по элементу.

В качестве примера давайте щелкнем вкладку «Подключения», которая отображает все подключения к локальной машине, на которой были перехвачены пакеты, как показано здесь:

Как открыть PCAP онлайн

Если вы прокрутите немного вниз, вам будет представлен географический вид взаимодействующих устройств.

Теперь давайте щелкнем вкладку «Открытые порты», чтобы просмотреть 45 результатов, обнаруженных A-пакетами, как показано здесь:

Посмотреть PCAP онлайн

На предыдущем снимке экрана мы видим открытые порты для различных IP-адресов, участвующих в этой связи.

Перейдем на вкладку «Серверы», чтобы просмотреть результаты связи с сервером:

Вкладка серверы A-Packets

На вкладке «Серверы» мы можем увидеть информацию о DNS. Давайте углубимся в выводы DNS, щелкнув вкладку DNS в левом меню:

Сайт PCAP открыть онлайн

Просматривая результаты DNS на предыдущем снимке экрана, мы видим, что многие несуществующие домены заполняют список записей DNS, что может указывать на подозрительную веб-активность и связь и требует дальнейшего изучения.

Как видите, веб-сайт apackets.com дает нам очень подробный анализ перехваченных пакетов, и, хотя он является онлайновым NFAT, он должен быть частью вашего сетевого арсенала DFIR. Давайте перейдем к краткому разделу об отчетности и презентации, чтобы подвести итоги.

ПОЛЕЗНЫЕ ССЫЛКИ:

Ban32

Хакер-самоучка, который может взломать тостер и настроить его на отправку вам утреннего приветствия в коде Морзе.

Добавить комментарий