Belajar dengan berlatih: Memalsukan/Memutar ulang paket/aliran IBM QRadar

  • Whatsapp
Belajar dengan berlatih: Memalsukan/Memutar ulang paket/aliran IBM QRadar
Belajar dengan berlatih MemalsukanMemutar ulang paketaliran IBM QRadar

News.nextcloud.asia

Postingan kali ini merupakan lanjutan dari postingan sebelumnya. Di postingan sebelumnya, kita melihat cara mendapatkan paket/aliran data tanpa memerlukan alat tambahan. Dalam posting ini, kita harus melakukan sedikit lebih banyak, tetapi kita juga akan dapat mencapai lebih banyak lagi. Tampak sekarang fokus pada metode 2.

Metode 2:
Metode kedua ini seperti yang mungkin Anda kenali sedikit lebih berbelit-belit tetapi tetap menyelesaikan pekerjaan. Saya percaya juga itu menempatkan Anda pada posisi yang jauh lebih baik untuk melakukan lebih dari metode 1.

Untuk memulai ini, kita memerlukan beberapa paket sampel. Jangan ragu untuk mengunduh ini dari situs web mana pun yang Anda inginkan. Beberapa sudah saya masukkan ke dalam referensi. Namun, untuk ini saya akan fokus pada paket yang saya miliki secara online dan yang telah digunakan dalam buku saya yang akan datang.

Mari kita gunakan “git” untuk “mengkloning” paket ini. Pertama saya akan membuat direktori untuk menyimpan hasil download. Direktori ini bernama “downloadedPackets”. Setelah dibuat, saya kemudian “cd” ke direktori itu.

[[email protected] ~]# mkdir downloadedPackets
[[email protected] ~]# cd downloadedPackets/

Perhatikan, setelah direktori ini dikloning, akan ada lebih dari sekadar paket. Jika Anda berencana untuk mendapatkan salinan buku saya, ini mungkin kesempatan bagus untuk mendapatkan wawasan tentang apa yang dilakukan paket :-). Anda dapat mengambil contoh bab di sini.

[[email protected] downloadedPackets]# git clone https://github.com/SecurityNik/SUWtHEh-.git
Cloning into 'SUWtHEh-'...
remote: Enumerating objects: 90, done.
remote: Total 90 (delta 0), reused 0 (delta 0), pack-reused 90
Unpacking objects: 100% (90/90), done.

Sekarang direktori telah dikloning, saya kemudian “cd” ke direktori ini. Saya kemudian melakukan “ls” dan “wc” untuk mempelajari berapa banyak file .pcap di folder ini.

[[email protected] SUWtHEh-]#cd SUWtHEh-/
[[email protected] SUWtHEh-]# ls --all -l *.pcap | wc --lines
21

Di atas kita melihat 21 file pcap.

Karena “tcpreplay” tidak diinstal pada QRadar Community Edition, mari tambahkan.

Pertama mari kita instal “libpcap-devel” melalui “yum”

[[email protected] ~]# yum install libpcap-devel
....
--> Running transaction check
---> Package libpcap-devel.x86_64 14:1.5.3-11.el7 will be installed
--> Finished Dependency Resolution
....
Install  1 Package

Total download size: 118 k
Installed size: 163 k
Is this ok [y/d/N]: y
....
Installed:
  libpcap-devel.x86_64 14:1.5.3-11.el7

Complete!

Sekarang kita memiliki “libpcap-devel”, selanjutnya mari kita dapatkan “tcpreplay” dari Link ini.

[[email protected] ~]# wget https://github.com/appneta/tcpreplay/releases/download/v4.2.6/tcpreplay-4.2.6.tar.gz
--2018-11-02 20:11:32--  https://github.com/appneta/tcpreplay/releases/download/v4.2.6/tcpreplay-4.2.6.tar.gz
Resolving github.com (github.com)... 192.30.253.112, 192.30.253.113
Connecting to github.com (github.com)|192.30.253.112|:443... connected.
HTTP request sent, awaiting response... 302 Found
Location: 
.......
Resolving github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)... 52.216.100.43
Connecting to github-production-release-asset-2e65be.s3.amazonaws.com (github-production-release-asset-2e65be.s3.amazonaws.com)|52.216.100.43|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 3494827 (3.3M) [application/octet-stream]
Saving to: ‘tcpreplay-4.2.6.tar.gz’

100%[===========================================================================================================>] 3,494,827   3.01MB/s   in 1.1s

2018-11-02 20:11:34 (3.01 MB/s) - ‘tcpreplay-4.2.6.tar.gz’ saved [3494827/3494827]

Setelah kita memiliki “tcpreplay-4.2.6.tar.gz”, mari kita lanjutkan dan untar, “configure”, “make” dan “make install”, sehingga kita dapat menggunakan “tcpreplay”.

[[email protected] ~]# tar -zxvf tcpreplay-4.2.6.tar.gz
tcpreplay-4.2.6/
tcpreplay-4.2.6/Makefile.am
tcpreplay-4.2.6/docs/
tcpreplay-4.2.6/docs/Makefile.am
tcpreplay-4.2.6/docs/Win32Readme.txt
tcpreplay-4.2.6/docs/HACKING
tcpreplay-4.2.6/docs/Makefile.in
..............

Sekarang mari kita beralih ke direktori “tcpreplay-4.2.6”.

[[email protected] ~]# cd tcpreplay-4.2.6
[[email protected] tcpreplay-4.2.6]# ./configure
checking whether to enable maintainer-
.............
##########################################################################
             TCPREPLAY Suite Configuration Results (4.2.6)
##########################################################################
libpcap:                    /usr (>= 0.9.6)
PF_RING libpcap             no
libdnet:                    no
autogen:                     (unknown - man pages will not be built)
Use libopts tearoff:        yes
64bit counter support:      yes
tcpdump binary path:        /usr/sbin/tcpdump
fragroute support:          no
tcpbridge support:          yes
tcpliveplay support:        yes

Supported Packet Injection Methods (*):
Linux TX_RING:              no
Linux PF_PACKET:            yes
BSD BPF:                    no
libdnet:                    no
pcap_inject:                yes
pcap_sendpacket:            yes **
pcap_netmap                 no
Linux/BSD netmap:           no
Tuntap device support:      yes

* In order of preference; see configure --help to override
** Required for tcpbridge

************************************************************

Selanjutnya, saatnya mengeksekusi make lalu make install. Mari kita jalankan keduanya bersama-sama. Jika “make” berhasil dijalankan, baru kemudian “make install run”

[[email protected] tcpreplay-4.2.6]# make && make install

Sekarang setelah “tcpreplay” terinstal, mari lanjutkan dan putar ulang beberapa tangkapan paket kita.
Mari kembali ke folder tempat paket-paket kita berada.

[[email protected] ~]# cd downloadedPackets/SUWtHEh-/

Seperti biasa, sebelum menjalankan salah satu dari perintah ini, Anda harus melihat halaman bantuan atau manual. Berikut adalah cuplikan dari bantuan tersebut.

[[email protected] SUWtHEh-]# tcpreplay --help
tcpreplay (tcpreplay) - Replay network traffic stored in pcap files
Usage:  tcpreplay [ -<flag> [<val>] | --<name>[{=| }<val>] ]... <pcap_file(s)>

   -q, --quiet                Quiet mode
   -T, --timer=str            Select packet timing mode: select, ioport, gtod, nano
       --maxsleep=num         Sleep for no more then X milliseconds between packets
   -v, --verbose              Print decoded packets via tcpdump to STDOUT
   -A, --decode=str           Arguments passed to tcpdump decoder
                                - requires the option 'verbose'
   -K, --preload-pcap         Preloads packets into RAM before sending
   -c, --cachefile=str        Split traffic via a tcpprep cache file
                                - requires the option 'intf2'
                                -- and prohibits the option 'dualfile'
   -2, --dualfile             Replay two files at a time from a network tap
                                - requires the option 'intf2'
                                -- and prohibits the option 'cachefile'
   -i, --intf1=str            Client to server/RX/primary traffic output interface
   -I, --intf2=str            Server to client/TX/secondary traffic output interface
       --listnics             List available network interfaces and exit
   -l, --loop=num             Loop through the capture file X times
                                - it must be in the range:
....

Mari gunakan argumen “listnics” untuk “tcpreplay” untuk melihat antarmuka apa yang telah diidentifikasi.

[[email protected] SUWtHEh-]# tcpreplay --listnics
Available network interfaces:
docker0
appProxy
dockerInfra
dockerApps
vethbe3a5ae
veth679a5ac
veth17c3fda
ens33
veth39ffa79
vetha7d6436
veth0d9817d
any
nflog
nfqueue
usbmon1
usbmon2

Seperti yang bisa kita lihat di atas, antarmuka “ens33” tersedia. Mari kita putar ulang pada antarmuka ini karena sudah dikonfigurasi dalam metode 1 (lihat posting sebelumnya) untuk menerima aliran.

Mari kita lihat pcaps yang tersedia.

[[email protected] SUWtHEh-]# ls --all -l *.pcap
-rw-r--r-- 1 securitynik securitynik  1018617 Nov  2 20:05 enum4linux_v.pcap
-rw-r--r-- 1 securitynik securitynik     1771 Nov  2 20:05 hydra_port_21.pcap
-rw-r--r-- 1 securitynik securitynik     9928 Nov  2 20:05 hydra_port_22.pcap
-rw-r--r-- 1 securitynik securitynik     7004 Nov  2 20:05 hydra_port_23.pcap
-rw-r--r-- 1 securitynik securitynik  1471289 Nov  2 20:05 hydra_port_445.pcap
-rw-r--r-- 1 securitynik securitynik   280812 Nov  2 20:05 metasploitable_9999_SUWtHEh.pcap
-rw-r--r-- 1 securitynik securitynik    62192 Nov  2 20:05 metasploitable_Telnet_SUWTHEh.pcap
-rw-r--r-- 1 securitynik securitynik   987362 Nov  2 20:05 MS17_010 - exploit.pcap
-rw-r--r-- 1 securitynik securitynik    57005 Nov  2 20:05 nbtscan.pcap
-rw-r--r-- 1 securitynik securitynik    13708 Nov  2 20:05 nbtscan-v.pcap
-rw-r--r-- 1 securitynik securitynik  4466911 Nov  2 20:05 nmap_host_scan_tcp.pcap
-rw-r--r-- 1 securitynik securitynik   106552 Nov  2 20:05 nmap_ping_scan.pcap
-rw-r--r-- 1 securitynik securitynik     8852 Nov  2 20:05 nmap_script_smb_ms17-010.pcap
-rw-r--r-- 1 securitynik securitynik   862576 Nov  2 20:05 nmap_script_vuln_ms17-010.pcap
-rw-r--r-- 1 securitynik securitynik   192987 Nov  2 20:05 nmap_sn.pcap
-rw-r--r-- 1 securitynik securitynik   462865 Nov  2 20:05 wget_index.pcap
-rw-r--r-- 1 securitynik securitynik      116 Nov  2 20:05 Win10_1-2.pcap
-rw-r--r-- 1 securitynik securitynik 24950772 Nov  2 20:05 WinXP-172.pcap
-rw-r--r-- 1 securitynik securitynik   540552 Nov  2 20:05 WinXP-4444-1820.pcap
-rw-r--r-- 1 securitynik securitynik   119400 Nov  2 20:05 WinXP-445.pcap
-rw-r--r-- 1 securitynik securitynik 25049045 Nov  2 20:05 WinXP.pcap

Mari kita coba file “enum4linux_v.pcap”.

[[email protected] SUWtHEh-]# tcpreplay --intf1=ens33 enum4linux_v.pcap
.... [I had some errors here]
Actual: 5348 packets (933025 bytes) sent in 10.39 seconds
Rated: 89735.3 Bps, 0.717 Mbps, 514.35 pps
Statistics for network device: ens33
        Successful packets:        5341
        Failed packets:            7
        Truncated packets:         0
        Retried packets (ENOBUFS): 0
        Retried packets (EAGAIN):  0
************************************************************

Di atas kita lihat ada 5.341 paket yang berhasil diputar ulang.

Mari kita coba file lain. Kali ini WinXP.pcap besar ditampilkan di bawah dengan “25049045” byte.

[[email protected] SUWtHEh-]#tcpreplay --intf1=ens33 --mbps=10 WinXP.pcap
Actual: 24957 packets (24649709 bytes) sent in 19.72 seconds
Rated: 1249660.7 Bps, 9.99 Mbps, 1265.23 pps
Flows: 159 flows, 8.06 fps, 22135 flow packets, 2822 non-flow
Statistics for network device: ens33
        Successful packets:        24957
        Failed packets:            0
        Truncated packets:         0
        Retried packets (ENOBUFS): 0
        Retried packets (EAGAIN):  0

Kami juga dapat menempatkan banyak file jika kami mau. Mari kita lakukan itu dengan rangkaian pemutaran ulang terakhir ini.

[[email protected] SUWtHEh-]#tcpreplay --intf1=ens33 --mbps=10 --loop=10 WinXP-172.pcap nmap_host_scan_tcp.pcap metasploitable_Telnet_SUWTHEh.pcap hydra_port_445.pcap  MS17_010 - exploit.pcap 2>/dev/null

Actual: 557910 packets (306752990 bytes) sent in 245.40 seconds
Rated: 1249999.8 Bps, 9.99 Mbps, 2273.44 pps
Flows: 197 flows, 0.80 fps, 10833000 flow packets, 17062500 non-flow
Statistics for network device: ens33
        Successful packets:        552980
        Failed packets:            4930
        Truncated packets:         0
        Retried packets (ENOBUFS): 0
        Retried packets (EAGAIN):  0

Dari atas, kami melihat ada 552980 paket yang berhasil diputar ulang. Sayangnya, kami memiliki lebih dari 4930 yang gagal.

Dengan melihat file bantuan “tcpreplay –help” atau halaman manual “man tcpreplay” Anda seharusnya dapat memahami apa yang dilakukan semua argumen pada tcpreplay. Namun, untuk “2>/dev/null” semua yang saya lakukan di sini adalah mengambil pesan kesalahan yang dihasilkan selama eksekusi perintah ini ke lubang hitam. Pada dasarnya jangan mencetak pesan kesalahan di layar, buang saja.

Saat kita melihat tab “Aktivitas Jaringan” QRadar, kita dapat melihat beberapa paket masuk.

Semoga Anda menikmati dua sesi ini. Ingat jika Anda benar-benar ingin memahami paket dan log yang kami unduh, silakan unduh bab contoh buku di sini. Atau, saya harap Anda mengambil salinannya saat tersedia. 🙂

Paket sampel:
SecurityNik – Retas & Deteksi paket sampel buku dan log
Paket Sampel Wireshark
NetResec
HATI-HATI – Contoh Malware dari Malware-Traffic-Analysis.net

tcpreplay:
https://tcpreplay.appneta.com/wiki/installation.html
http://tcpreplay.synfin.net/wiki/tcpreplay

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.