Postingan kali ini merupakan lanjutan dari postingan sebelumnya. Di postingan sebelumnya, kita melihat cara mendapatkan paket/aliran data tanpa memerlukan alat tambahan. Dalam posting ini, kita harus melakukan sedikit lebih banyak, tetapi kita juga akan dapat mencapai lebih banyak lagi. Tampak sekarang fokus pada metode 2.
Metode 2:
Metode kedua ini seperti yang mungkin Anda kenali sedikit lebih berbelit-belit tetapi tetap menyelesaikan pekerjaan. Saya percaya juga itu menempatkan Anda pada posisi yang jauh lebih baik untuk melakukan lebih dari metode 1.
Untuk memulai ini, kita memerlukan beberapa paket sampel. Jangan ragu untuk mengunduh ini dari situs web mana pun yang Anda inginkan. Beberapa sudah saya masukkan ke dalam referensi. Namun, untuk ini saya akan fokus pada paket yang saya miliki secara online dan yang telah digunakan dalam buku saya yang akan datang.
Mari kita gunakan “git” untuk “mengkloning” paket ini. Pertama saya akan membuat direktori untuk menyimpan hasil download. Direktori ini bernama “downloadedPackets”. Setelah dibuat, saya kemudian “cd” ke direktori itu.
[[email protected] ~]# mkdir downloadedPackets [[email protected] ~]# cd downloadedPackets/
Perhatikan, setelah direktori ini dikloning, akan ada lebih dari sekadar paket. Jika Anda berencana untuk mendapatkan salinan buku saya, ini mungkin kesempatan bagus untuk mendapatkan wawasan tentang apa yang dilakukan paket :-). Anda dapat mengambil contoh bab di sini.
[[email protected] downloadedPackets]# git clone https://github.com/SecurityNik/SUWtHEh-.git Cloning into 'SUWtHEh-'... remote: Enumerating objects: 90, done. remote: Total 90 (delta 0), reused 0 (delta 0), pack-reused 90 Unpacking objects: 100% (90/90), done.
Sekarang direktori telah dikloning, saya kemudian “cd” ke direktori ini. Saya kemudian melakukan “ls” dan “wc” untuk mempelajari berapa banyak file .pcap di folder ini.
[[email protected] SUWtHEh-]#cd SUWtHEh-/ [[email protected] SUWtHEh-]# ls --all -l *.pcap | wc --lines 21
Di atas kita melihat 21 file pcap.
Karena “tcpreplay” tidak diinstal pada QRadar Community Edition, mari tambahkan.
Pertama mari kita instal “libpcap-devel” melalui “yum”
[[email protected] ~]# yum install libpcap-devel .... --> Running transaction check ---> Package libpcap-devel.x86_64 14:1.5.3-11.el7 will be installed --> Finished Dependency Resolution .... Install 1 Package Total download size: 118 k Installed size: 163 k Is this ok [y/d/N]: y .... Installed: libpcap-devel.x86_64 14:1.5.3-11.el7 Complete!
Sekarang kita memiliki “libpcap-devel”, selanjutnya mari kita dapatkan “tcpreplay” dari Link ini.
[[email protected] ~]# wget https://github.com/appneta/tcpreplay/releases/download/v4.2.6/tcpreplay-4.2.6.tar.gz --2018-11-02 20:11:32-- https://github.com/appneta/tcpreplay/releases/download/v4.2.6/tcpreplay-4.2.6.tar.gz Resolving github.com (github.com)... 192.30.253.112, 192.30.253.113 Connecting to github.com (github.com)|192.30.253.112|:443... connected. HTTP request sent, awaiting response... 302 Found Location: ....... Resolving github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)... 52.216.100.43 Connecting to github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)|52.216.100.43|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 3494827 (3.3M) [application/octet-stream] Saving to: ‘tcpreplay-4.2.6.tar.gz’ 100%[===========================================================================================================>] 3,494,827 3.01MB/s in 1.1s 2018-11-02 20:11:34 (3.01 MB/s) - ‘tcpreplay-4.2.6.tar.gz’ saved [3494827/3494827]
Setelah kita memiliki “tcpreplay-4.2.6.tar.gz”, mari kita lanjutkan dan untar, “configure”, “make” dan “make install”, sehingga kita dapat menggunakan “tcpreplay”.
[[email protected] ~]# tar -zxvf tcpreplay-4.2.6.tar.gz tcpreplay-4.2.6/ tcpreplay-4.2.6/Makefile.am tcpreplay-4.2.6/docs/ tcpreplay-4.2.6/docs/Makefile.am tcpreplay-4.2.6/docs/Win32Readme.txt tcpreplay-4.2.6/docs/HACKING tcpreplay-4.2.6/docs/Makefile.in ..............
Sekarang mari kita beralih ke direktori “tcpreplay-4.2.6”.
[[email protected] ~]# cd tcpreplay-4.2.6 [[email protected] tcpreplay-4.2.6]# ./configure checking whether to enable maintainer- ............. ########################################################################## TCPREPLAY Suite Configuration Results (4.2.6) ########################################################################## libpcap: /usr (>= 0.9.6) PF_RING libpcap no libdnet: no autogen: (unknown - man pages will not be built) Use libopts tearoff: yes 64bit counter support: yes tcpdump binary path: /usr/sbin/tcpdump fragroute support: no tcpbridge support: yes tcpliveplay support: yes Supported Packet Injection Methods (*): Linux TX_RING: no Linux PF_PACKET: yes BSD BPF: no libdnet: no pcap_inject: yes pcap_sendpacket: yes ** pcap_netmap no Linux/BSD netmap: no Tuntap device support: yes * In order of preference; see configure --help to override ** Required for tcpbridge ************************************************************
Selanjutnya, saatnya mengeksekusi make lalu make install. Mari kita jalankan keduanya bersama-sama. Jika “make” berhasil dijalankan, baru kemudian “make install run”
[[email protected] tcpreplay-4.2.6]# make && make install
Sekarang setelah “tcpreplay” terinstal, mari lanjutkan dan putar ulang beberapa tangkapan paket kita.
Mari kembali ke folder tempat paket-paket kita berada.
[[email protected] ~]# cd downloadedPackets/SUWtHEh-/
Seperti biasa, sebelum menjalankan salah satu dari perintah ini, Anda harus melihat halaman bantuan atau manual. Berikut adalah cuplikan dari bantuan tersebut.
[[email protected] SUWtHEh-]# tcpreplay --help tcpreplay (tcpreplay) - Replay network traffic stored in pcap files Usage: tcpreplay [ -<flag> [<val>] | --<name>[{=| }<val>] ]... <pcap_file(s)> -q, --quiet Quiet mode -T, --timer=str Select packet timing mode: select, ioport, gtod, nano --maxsleep=num Sleep for no more then X milliseconds between packets -v, --verbose Print decoded packets via tcpdump to STDOUT -A, --decode=str Arguments passed to tcpdump decoder - requires the option 'verbose' -K, --preload-pcap Preloads packets into RAM before sending -c, --cachefile=str Split traffic via a tcpprep cache file - requires the option 'intf2' -- and prohibits the option 'dualfile' -2, --dualfile Replay two files at a time from a network tap - requires the option 'intf2' -- and prohibits the option 'cachefile' -i, --intf1=str Client to server/RX/primary traffic output interface -I, --intf2=str Server to client/TX/secondary traffic output interface --listnics List available network interfaces and exit -l, --loop=num Loop through the capture file X times - it must be in the range: ....
Mari gunakan argumen “listnics” untuk “tcpreplay” untuk melihat antarmuka apa yang telah diidentifikasi.
[[email protected] SUWtHEh-]# tcpreplay --listnics Available network interfaces: docker0 appProxy dockerInfra dockerApps vethbe3a5ae veth679a5ac veth17c3fda ens33 veth39ffa79 vetha7d6436 veth0d9817d any nflog nfqueue usbmon1 usbmon2
Seperti yang bisa kita lihat di atas, antarmuka “ens33” tersedia. Mari kita putar ulang pada antarmuka ini karena sudah dikonfigurasi dalam metode 1 (lihat posting sebelumnya) untuk menerima aliran.
Mari kita lihat pcaps yang tersedia.
[[email protected] SUWtHEh-]# ls --all -l *.pcap -rw-r--r-- 1 securitynik securitynik 1018617 Nov 2 20:05 enum4linux_v.pcap -rw-r--r-- 1 securitynik securitynik 1771 Nov 2 20:05 hydra_port_21.pcap -rw-r--r-- 1 securitynik securitynik 9928 Nov 2 20:05 hydra_port_22.pcap -rw-r--r-- 1 securitynik securitynik 7004 Nov 2 20:05 hydra_port_23.pcap -rw-r--r-- 1 securitynik securitynik 1471289 Nov 2 20:05 hydra_port_445.pcap -rw-r--r-- 1 securitynik securitynik 280812 Nov 2 20:05 metasploitable_9999_SUWtHEh.pcap -rw-r--r-- 1 securitynik securitynik 62192 Nov 2 20:05 metasploitable_Telnet_SUWTHEh.pcap -rw-r--r-- 1 securitynik securitynik 987362 Nov 2 20:05 MS17_010 - exploit.pcap -rw-r--r-- 1 securitynik securitynik 57005 Nov 2 20:05 nbtscan.pcap -rw-r--r-- 1 securitynik securitynik 13708 Nov 2 20:05 nbtscan-v.pcap -rw-r--r-- 1 securitynik securitynik 4466911 Nov 2 20:05 nmap_host_scan_tcp.pcap -rw-r--r-- 1 securitynik securitynik 106552 Nov 2 20:05 nmap_ping_scan.pcap -rw-r--r-- 1 securitynik securitynik 8852 Nov 2 20:05 nmap_script_smb_ms17-010.pcap -rw-r--r-- 1 securitynik securitynik 862576 Nov 2 20:05 nmap_script_vuln_ms17-010.pcap -rw-r--r-- 1 securitynik securitynik 192987 Nov 2 20:05 nmap_sn.pcap -rw-r--r-- 1 securitynik securitynik 462865 Nov 2 20:05 wget_index.pcap -rw-r--r-- 1 securitynik securitynik 116 Nov 2 20:05 Win10_1-2.pcap -rw-r--r-- 1 securitynik securitynik 24950772 Nov 2 20:05 WinXP-172.pcap -rw-r--r-- 1 securitynik securitynik 540552 Nov 2 20:05 WinXP-4444-1820.pcap -rw-r--r-- 1 securitynik securitynik 119400 Nov 2 20:05 WinXP-445.pcap -rw-r--r-- 1 securitynik securitynik 25049045 Nov 2 20:05 WinXP.pcap
Mari kita coba file “enum4linux_v.pcap”.
[[email protected] SUWtHEh-]# tcpreplay --intf1=ens33 enum4linux_v.pcap .... [I had some errors here] Actual: 5348 packets (933025 bytes) sent in 10.39 seconds Rated: 89735.3 Bps, 0.717 Mbps, 514.35 pps Statistics for network device: ens33 Successful packets: 5341 Failed packets: 7 Truncated packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0 ************************************************************
Di atas kita lihat ada 5.341 paket yang berhasil diputar ulang.
Mari kita coba file lain. Kali ini WinXP.pcap besar ditampilkan di bawah dengan “25049045” byte.
[[email protected] SUWtHEh-]#tcpreplay --intf1=ens33 --mbps=10 WinXP.pcap Actual: 24957 packets (24649709 bytes) sent in 19.72 seconds Rated: 1249660.7 Bps, 9.99 Mbps, 1265.23 pps Flows: 159 flows, 8.06 fps, 22135 flow packets, 2822 non-flow Statistics for network device: ens33 Successful packets: 24957 Failed packets: 0 Truncated packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0
Kami juga dapat menempatkan banyak file jika kami mau. Mari kita lakukan itu dengan rangkaian pemutaran ulang terakhir ini.
[[email protected] SUWtHEh-]#tcpreplay --intf1=ens33 --mbps=10 --loop=10 WinXP-172.pcap nmap_host_scan_tcp.pcap metasploitable_Telnet_SUWTHEh.pcap hydra_port_445.pcap MS17_010 - exploit.pcap 2>/dev/null Actual: 557910 packets (306752990 bytes) sent in 245.40 seconds Rated: 1249999.8 Bps, 9.99 Mbps, 2273.44 pps Flows: 197 flows, 0.80 fps, 10833000 flow packets, 17062500 non-flow Statistics for network device: ens33 Successful packets: 552980 Failed packets: 4930 Truncated packets: 0 Retried packets (ENOBUFS): 0 Retried packets (EAGAIN): 0
Dari atas, kami melihat ada 552980 paket yang berhasil diputar ulang. Sayangnya, kami memiliki lebih dari 4930 yang gagal.
Dengan melihat file bantuan “tcpreplay –help” atau halaman manual “man tcpreplay” Anda seharusnya dapat memahami apa yang dilakukan semua argumen pada tcpreplay. Namun, untuk “2>/dev/null” semua yang saya lakukan di sini adalah mengambil pesan kesalahan yang dihasilkan selama eksekusi perintah ini ke lubang hitam. Pada dasarnya jangan mencetak pesan kesalahan di layar, buang saja.
Saat kita melihat tab “Aktivitas Jaringan” QRadar, kita dapat melihat beberapa paket masuk.
Semoga Anda menikmati dua sesi ini. Ingat jika Anda benar-benar ingin memahami paket dan log yang kami unduh, silakan unduh bab contoh buku di sini. Atau, saya harap Anda mengambil salinannya saat tersedia. 🙂
Paket sampel:
SecurityNik – Retas & Deteksi paket sampel buku dan log
Paket Sampel Wireshark
NetResec
HATI-HATI – Contoh Malware dari Malware-Traffic-Analysis.net
tcpreplay:
https://tcpreplay.appneta.com/wiki/installation.html
http://tcpreplay.synfin.net/wiki/tcpreplay
