В предыдущей статье мы рассмотрели способ анализа сетевых пакетов PCAP на компьютере. Сейчас я покажу, как открыть PCAP онлайн.
Еще по теме: Анализ файлов PCAP в песочнице Windows
Анализ PCAP онлайн с помощью packagetotal.com
PacketTotal полностью бесплатен, с простым пользовательским интерфейсом, который позволяет пользователю либо перетащить свой файл PCAP в область загрузки, либо нажать кнопку «Загрузить», чтобы загрузить и автоматически проанализировать файл .pcap.
Единственное ограничение — размер загружаемого файла .pcap не должен быть более 50 МБ.
Если у вас нет своего файла .pcap, скачайте образец перейдя по этой ссылки. Файл называется Testing for SQL,pcap.
Перейдите на сайт и загрузите файл нажав на кнопку Upload (Загрузить).
Отметьте галочкой капчу.
После завершения анализа, PacketTotal отобразит всю информацию о захваченном трафике.
Сверху располагаются различные вкладки
- Malicious Activity (Вредоносная активность),
- Suspicious Activity (Подозрительная активность),
- Connections (Подключения)
- и различные протоколы
Мы видим, что было обнаружено оповещение:
1 |
HTTP::SQL_Injection_Attacker и HTTP::SQL_Injection_Victim |
На вкладке Connections мы видим идентификатор соединения вместе с IP-адресами отправителя и получателя.
Давайте рассмотрим еще один сайт который позволяет открыть PCAP онлайн и получить более подробную ифнормацию.
Анализ PCAP онлайн с помощью apackets.com
В качестве последнего упражнения давайте рассмотрим еще один онлайн-инструмент для анализа пакетов, доступный по адресу https://apackets.com/. Итак, приступим к упражнению:
Скачайте файл PCAP Emotet-epoch5-infection with-Cobalt-Strike-.pcap с этого сайта.
Нажмите кнопку «С устройства» и перейдите к загруженному файлу образца, который необходимо загрузить для анализа.
Как только A-Packets автоматически обработает и проанализирует наш файл .pcap, будет представлена очень подробная и классифицированная разбивка результатов, как показано на следующем снимке экрана:
Если мы прокрутим немного вниз, мы должны увидеть результаты для еще большего количества результатов, включая протоколы DNS и DHCP и даже устройства Ethernet, используемые для связи:
Если вы посмотрите на меню слева от страницы, вы заметите несколько вкладок, некоторые из которых могут иметь номера рядом с каждой вкладкой. Они указывают количество выводов по элементу.
В качестве примера давайте щелкнем вкладку «Подключения», которая отображает все подключения к локальной машине, на которой были перехвачены пакеты, как показано здесь:
Если вы прокрутите немного вниз, вам будет представлен географический вид взаимодействующих устройств.
Теперь давайте щелкнем вкладку «Открытые порты», чтобы просмотреть 45 результатов, обнаруженных A-пакетами, как показано здесь:
На предыдущем снимке экрана мы видим открытые порты для различных IP-адресов, участвующих в этой связи.
Перейдем на вкладку «Серверы», чтобы просмотреть результаты связи с сервером:
На вкладке «Серверы» мы можем увидеть информацию о DNS. Давайте углубимся в выводы DNS, щелкнув вкладку DNS в левом меню:
Просматривая результаты DNS на предыдущем снимке экрана, мы видим, что многие несуществующие домены заполняют список записей DNS, что может указывать на подозрительную веб-активность и связь и требует дальнейшего изучения.
Как видите, веб-сайт apackets.com дает нам очень подробный анализ перехваченных пакетов, и, хотя он является онлайновым NFAT, он должен быть частью вашего сетевого арсенала DFIR. Давайте перейдем к краткому разделу об отчетности и презентации, чтобы подвести итоги.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Анализ трафика с помощью сканера ZUI
- Поиск артефактов на компьютере Windows
- Ошибка сохранения извлеченных файлов в NetworkMiner