PcapXray – GUI сетевой криминалистический инструмент для анализа захвата пакетов оффлайн

Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap.

Инструмент отображает хосты в сети, а также всевозможные трафики, а именно, сетевой трафик, выделяет важный трафик и трафик Tor, а также потенциально вредоносный трафик

Инструмент содержит следующие компоненты:

• Диаграмма сети (Network Diagram).
• Устройство/детали трафика и его анализ (Device/Traffic Details and Analysis).
• Идентификация вредоносного трафика (Malicious Traffic Identification).
• Трафик Tor (Tor Traffic)
• GUI – GUI c опциями, чтобы загружать файл pcap (GUI – GUI with options to upload pcap file)

Обучающее руководство – Network Forensics Tool

Инструмент захвата пакетов может быть скачан из GitHub. Инструмент дает представителям службы безопасности первоначальный глюк (glitch) для расследования

git clone Srinivas11789/PcapXray
cd PcapXray
Для установки всех требований: pip install -r requirements.txt
Для запуска: python Source/main.py

Он запустит графический пользовательский интерфейс и попросит разместить файл pcap.

Чтобы продемонстрировать, мы использовали файл кампании фишинга Netflix; при помощи этого мы можем извлечь веб трафик, Tor трафик, вредоносный трафик и остальные детали трафиков.

Анализ займет некоторое время, после чего мы получим детальный отчет о коммуникации, детали Устройства и Пакетов.

Локация URL обнаружило фишинговую страницу Netflix.

IP адрес назначения 98[.]209[.]70[.]101 не отобразим во время нашего анализа, и все это выглядит так, как будто кампания завершена.

Инструмент включает в себя следующие библиотеки python

 Scapy – rdpcap – чтобы читать пакеты с файла pcap
 Ipwhois – чтобы получить сведения, с какого ip адреса информация предоставлена
 Netaddr – чтобы проверить тип ip информации
 Pillow – библиотека обработки образов
 Stem – библиотека сбора консенсусных tor данных
 pyGraphviz – построить график
 Networkx – построить график
 Matplotlib – построить график

Автор полностью доверяет Srinivas P G Github.

[Источник]