Gratis Network Forensic Analysis Software för att se trafik –

huvuddrag

De viktigaste egenskaperna hos detta program är att det kommer att tillåta oss att utföra kriminaltekniska nätverksanalyser med fångar av PCAP-trafik, även om vi också kommer att kunna avlyssna all trafik från ett trådbundet eller Wi-Fi-nätverkskort, men det är kompatibelt med WireShark eftersom det är den mest använda i världens protokollanalysator. Andra viktiga funktioner är att det låter dig extrahera lösenord från datafångst direkt i klartext, utan att behöva studera all trafik i detalj, detta är helt automatiskt. Vi kan också bygga en nätverkskarta, bygga om TCP-sessioner, vi kan extrahera hash av krypterade lösenord och till och med konvertera dem till Hashcat-format för att senare försöka knäcka dem med det här programmet, utföra en brute force-attack eller en offline-ordbok.

Huvudmålet med detta BruteShark-program är att tillhandahålla en heltäckande lösning för IT-säkerhetsforskare, nätverks- och systemadministratörer för att identifiera potentiella problem, svagheter, LAN-hot och andra säkerhetsbrister som en framtida attack kan leda till. Det här programmet finns tillgängligt i två distinkt olika versioner: vi kommer att ha en GUI-version för Windows-systemet, och vi kommer också att ha en kommandoradsversion (vi kommer att arbeta i en terminal), kompatibel med Windows och Linux operativsystem. Naturligtvis kan detta program användas för att analysera nätverkstrafik för Windows-, Linux- eller macOS-datorer utan problem.

Detta program kan extrahera och dekryptera användarnamn och lösenord från protokoll som HTTP, FTP, Telnet, IMAP, SMTP och många andra, det vill säga alla protokoll utan end-to-end-kryptering som HTTPS, FTPES, SSH och många andra . Det här programmet kan också extrahera hash och konvertera dem till Kerberos, NTLM, CRAM-MD5, HTTP-Digest och mycket mer, naturligtvis kan du skapa ett visuellt nätverksdiagram med användare och olika nätverksenheter, det är också kapabelt att extrahera alla DNS-förfrågningar som har gjorts (så länge DoH eller DoT inte används, vilka är krypterade), tillåter det också att TCP- och UDP-sessioner rekonstrueras, klippa filer och till och med hämta VoIP-samtal om SIP och RTP används.

När vi känner till alla funktioner i detta program, låt oss ta en närmare titt på hur det fungerar.

Ladda ner och installera på Windows

Om du är intresserad av att installera det här programmet på Windows kan du ladda ner två versioner:

Den enda förutsättningen är WinPcap eller NPcap installerat, vi måste komma ihåg att om du har WireShark installerat måste du installera en av båda drivrutinerna. Du måste också ha .NET Core Runtime installerat för att kunna köra det.

Om du ska installera det här programmet på Linux-system måste du installera libpcap, varefter vi kör följande kommandon:

hitta / usr / lib / x86_64-linux-gnu -typ f | grep libpcap | huvud -1 | xargs -i sudo ln -s {} /usr/lib/x86_64-linux-gnu/libpcap.so

wget https://github.com/odedshimon/BruteShark/releases/latest/download/BruteSharkCli

./BruteSharkCli

Efter installationen fortsätter vi till dess implementering, vi måste komma ihåg att vi bara kommer att ha ett grafiskt användargränssnitt i Windows-operativsystem, i Linux måste vi köra kommandon från konsolen.

Hur BruteShark fungerar

Det här programmet fungerar väldigt enkelt: det första du ska göra är att ladda ner PCAP-filen för analys och sedan analysera filen eller filerna som vi laddade ner. Vi har också möjlighet att skapa TCP- och UDP-sessioner och till och med börja med att fånga nätverksdata. Om du inte har en infångning för analys kan du använda det här programmet istället för att använda WireShark, exportera infångningen till PCAP och sedan importera den till det här programmet. Således kan vi göra det mycket enklare med ett program.

På vänster sida av programmet kan vi se användaruppgifterna som finns i nätverkstrafiken, de kommer att visa oss både lösenord i vanlig text (om protokoll utan kryptering användes), och även visa oss hasharna. om vi verkligen använder Kerberos, NTLM och andra protokoll som vi diskuterade tidigare. I det här avsnittet kommer vi också att kunna se nätverksdiagrammet, sessionerna som hålls, DNS-förfrågningar och slutligen kommer vi att hitta de möjliga filerna som den fångat och VoIP-samtal, om några.

Om vi ​​vill fånga nätverkstrafik från något av nätverksgränssnitten är det absolut nödvändigt att köra BruteShark med administratörsrättigheter, annars får vi inte ens de trådbundna nätverkskorten och WiFi-nätverkskorten som vi har på vår dator.

Vi måste också komma ihåg att om vi ska använda WireShark måste vi exportera infångningarna i PCAP-format, och inte PCAPNG som det gör som standard, eftersom vi kommer att få följande fel. Vi kommer att ha två alternativ, antingen använd WireShark och spara som PCAP, eller använd tshark-programmet via kommandoraden.

När vi öppnar en kompatibel PCAP-insamling måste vi klicka på “Analysera filer” och det kommer att börja analysera infångningen, detta kan ta från några sekunder till flera timmar, beroende på storleken på infångningen som BruteShark har. analysera.

I vårt fall använde vi alltid DNS- och HTTPS-anslutningar, så det samlade inte in några lösenord eller lösenordshashar utan att använda Kerberos eller NTLM. Vi ser en nätverkskarta över alla förfrågningar som gjorts.

Vi kan också se alla sessioner som gjordes från vår dator, med deras respektive käll- och destinations-IP-adresser samt käll- och destinationsport.

Slutligen kan vi se alla DNS-uppslagningar som gjordes vid tidpunkten för datainsamlingen, såsom vår hemsida, American Express, Interactive Brokers och många fler, som du kan se nedan:

Som du såg är det mycket lätt att använda det här programmet för att extrahera referenser, DNS-frågor, visa nätverkskartor, sessioner och till och med visa filer eller VoIP-samtalsinformation, samma information kan erhållas genom att visa WireShark-datafångst, men det kommer att ta längre tid tid om vi inte använder rätt filter, så BruteShark gör det mycket enklare för oss.

Relaterade artiklar

Back to top button