Belajar dengan berlatih: TShark: Bekerja dengan statistik

  • Whatsapp
Belajar dengan berlatih: TShark: Bekerja dengan statistik
Belajar dengan berlatih TShark Bekerja dengan statistik

News.nextcloud.asia

Melanjutkan seri ini mempromosikan SANS SEC503: Deteksi Intrusi di Kedalaman. Dalam posting ini, kami melihat menu statistik TShark.

Untuk melihat statistik yang tersedia, kami memanfaatkan tshark -z bantuan: Di bawah ini menunjukkan snapshot dari output ini.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -z help
tshark: The available statistics for the "-z" option are:
...
     conv,eth
     conv,fc
     conv,fddi
     conv,ip
     conv,ipv6
     conv,ipx
     conv,jxta
     conv,mptcp
     conv,ncp
     conv,rsvp
     conv,sctp
     conv,sll
     conv,tcp
     conv,tr
     conv,udp
...

Saat menganalisis PCAP, kemungkinan besar, Anda akan melihat: Hirarki Protokol, ayo lakukan itu.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r hydra_port_445.pcap -q -z io,phs                                                         
===================================================================
Protocol Hierarchy Statistics
Filter: 

sll                                      frames:11337 bytes:1289873
  ip                                     frames:11337 bytes:1289873
    tcp                                  frames:11337 bytes:1289873
      nbss                               frames:3925 bytes:767089
        smb                              frames:3925 bytes:767089
      vssmonitoring                      frames:14 bytes:868
===================================================================

Melihat titik akhir dalam file PCAP, selalu membantu untuk memberikan visibilitas ke host terlihat di jaringan Anda dan bagaimana mereka berkomunikasi, yang berkaitan dengan byte dan paket.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r hydra_port_445.pcap -q -z endpoints,ip
================================================================================
IPv4 Endpoints
Filter:<No Filter>
                       |  Packets  | |  Bytes  | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes |
10.0.0.102                 11337       1289873       6866          812766        4471          477107   
10.0.0.104                  4491        514851       1755          191201        2736          323650   
10.0.0.106                  4445        510943       1709          187293        2736          323650   
10.0.0.105                  2246        246142        938           91528        1308          154614   
10.0.0.90                    150         17425         67            6955          83           10470   
10.0.0.103                     5           512          2             130           3             382   
================================================================================

Demikian pula, kita dapat melihat Titik Akhir TCP.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r hydra_port_445.pcap -q -z endpoints,tcp | more                                                      
================================================================================
TCP Endpoints
Filter:<No Filter>
                       |  Port  ||  Packets  | |  Bytes  | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes |
10.0.0.104                  445       4491        514851       1755          191201        2736          323650   
10.0.0.106                  445       4445        510943       1709          187293        2736          323650   
10.0.0.105                  445       2246        246142        938           91528        1308          154614   
10.0.0.90                   445        150         17425         67            6955          83           10470   
10.0.0.102                57662         13          1420          7             828           6             592   
10.0.0.102                52916         13          1400          7             844           6             556   
10.0.0.102                52936         13          1400          7             844           6             556   
...

Titik akhir TCP (dan juga UDP) sangat membantu. Seperti yang Anda lihat di atas, Anda juga memiliki byte dan paket yang dipertukarkan pada port yang digunakan host pada titik waktu tertentu. Misalnya, Anda melihat tiga port berbeda yang dilaporkan untuk titik akhir di IP 10.0.0.102.

Meskipun informasi titik akhir berguna, Anda mungkin ingin melihat percakapan yang terjadi di antara titik akhir. Melihat percakapan Ethernet sangat membantu untuk melihat host berkomunikasi di LAN lokal. Mungkin membantu untuk mengidentifikasi gerakan lateral. Hampir setiap hari, host internal Anda akan berkomunikasi dengan server lokal ke subnetnya atau routernya (gerbang default). Ketika ada banyak alamat Ethernet yang berkomunikasi yang tidak terkait dengan server atau gateway default, ini mungkin menjadi perhatian.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,eth
================================================================================
Ethernet Conversations
Filter:<No Filter>
                                               |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |
00:22:19:01:ef:0d    <-> cc:b0:da:ba:42:39         39 2,532bytes      78 112kB         117 114kB         0.000000000        27.1526
================================================================================

Di atas menunjukkan wawasan yang baik tentang dua alamat MAC yang berkomunikasi di LAN.

Pindah ke percakapan IP.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,ip
================================================================================
IPv4 Conversations
Filter:<No Filter>
                                               |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |
146.66.65.213        <-> 192.168.0.26              37 2,424bytes      76 112kB         113 114kB        26.904525000        0.2481
72.21.91.29          <-> 192.168.0.26               2 108bytes        2 120bytes        4 228bytes      0.000000000         0.0019
================================================================================

Kami sekarang memiliki wawasan yang lebih baik tentang komunikasi IP. Seperti yang diharapkan dengan percakapan, kami memiliki informasi tentang bingkai, byte, durasi, dll.

Menggali sedikit lebih dalam …

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,tcp
================================================================================
TCP Conversations
Filter:<No Filter>
                                                           |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |
                                                           | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |
192.168.0.26:50237         <-> 146.66.65.213:80                76 112kB          37 2,424bytes     113 114kB        26.904525000         0.2481
192.168.0.26:50230         <-> 72.21.91.29:80                   2 120bytes        2 108bytes        4 228bytes      0.000000000         0.0019
================================================================================

Sekarang kita memiliki pandangan yang lebih intim tentang komunikasi. Kami dapat melihat sepenuhnya sesi yang berkaitan dengan alamat IP dan port tempat komunikasi terjadi. Lebih penting lagi, Anda dapat melihat frame, byte, durasi, dll.

Sekarang kita tahu ada komunikasi HTTP yang terjadi di atas, mari kita ambil beberapa statistik HTTP.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http,stat
===================================================================
HTTP Statistics
* HTTP Status Codes in reply packets
    HTTP 200 OK
* List of HTTP Request methods
          GET 1 
===================================================================

Di atas, kita melihat informasi tentang kode status HTTP dan metode permintaan. Sepertinya hanya 1 metode permintaan yang ditemukan di PCAP.

Ini selanjutnya dapat dikonfirmasi dengan mengekstraksi http.request.method bidang

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -T fields -e http.request.method | sort | uniq
GET

Pindah dengan statistik HTTP lainnya, melihat pohon permintaan

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http_req,tree
=================================================================================================================================================================
HTTP/Requests:
Topic / Item                                      Count         Average       Min Val       Max Val       Rate (ms)     Percent       Burst Rate    Burst Start  
-----------------------------------------------------------------------------------------------------------------------------------------------------------------
HTTP Requests by HTTP Host                        1                                                       0.0041        100%          0.0100        26.912       
 worldtoptop.com                                  1                                                       0.0041        100.00%       0.0100        26.912       
  /wp-content/uploads/2011/05/kaieteur_falls.jpg  1                                                       0.0041        100.00%       0.0100        26.912       

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

Di atas kami melihat permintaan dibuat untuk worldtop.com untuk sebuah file kaieteur_falls.jpg. Melihat ke pohon server …

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http_srv,tree
=================================================================================================================================================
HTTP/Load Distribution:
Topic / Item                      Count         Average       Min Val       Max Val       Rate (ms)     Percent       Burst Rate    Burst Start  
-------------------------------------------------------------------------------------------------------------------------------------------------
HTTP Requests by Server           1                                                       0.0041        100%          0.0100        26.912       
 HTTP Requests by Server Address  1                                                       0.0041        100.00%       0.0100        26.912       
  146.66.65.213                   1                                                       0.0041        100.00%       0.0100        26.912       
   worldtoptop.com                1                                                       0.0041        100.00%       0.0100        26.912       
 HTTP Requests by HTTP Host       1                                                       0.0041        100.00%       0.0100        26.912       
  worldtoptop.com                 1                                                       0.0041        100.00%       0.0100        26.912       
   146.66.65.213                  1                                                       0.0041        100.00%       0.0100        26.912       
HTTP Responses by Server Address  1                                                       0.0041        100%          0.0100        27.153       
 146.66.65.213                    1                                                       0.0041        100.00%       0.0100        27.153       
  OK                              1                                                       0.0041        100.00%       0.0100        27.153       

-------------------------------------------------------------------------------------------------------------------------------------------------

Di atas menunjukkan permintaan berdasarkan alamat server, nama host, dan akhirnya respons server. Jadi kami yakin bahwa permintaan yang dibuat ke server ini berhasil dikembalikan.

Untuk mengekstrak file “kaieteur_falls.jpg” file, kami melakukan hal berikut:

1. ┌──(root💀securitynik)-[~/tshark-series]
   └─# tshark -n -r securitynik_kaieteur_falls.pcap -q --export-objects http,/tmp/

2. ┌──(root💀securitynik)-[~/tshark-series]
   └─# ls -al /tmp/kaieteur_falls.jpg 
-rw-r--r-- 1 root root 107720 Aug 18 22:52 /tmp/kaieteur_falls.jpg

3. ┌──(root💀securitynik)-[~/tshark-series]
   └─# xdg-open /tmp/kaieteur_falls.jpg &

Pada 1 di atas, kami mengekspor konten dari HTTP. Dalam 2 kami tampil ls pada file untuk memverifikasi keberadaannya. Akhirnya di 3, kami membuka file menggunakan xdg-buka. Seperti inilah tampilan filenya.

Gambar di atas adalah Air Terjun Kaieteur di Guyana Amerika Selatan. Air terjun ini dianggap sebagai air terjun tunggal terbesar di dunia. Pergi berkunjung ketika Anda mendapat kesempatan jika Anda seorang pecinta alam.

Sekarang setelah kita melihat HTTP, mari kita lihat transisi saya, status. Secara khusus, mari kita lihat lalu lintas dari perspektif interval dua menit.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r MS17_010 - exploit.pcap -q -z io,stat,120                                                  
==================================
| IO Statistics                  |
|                                |
| Duration: 1359.431051 secs     |
| Interval:  120 secs            |
|                                |
| Col 1: Frames and bytes        |
|--------------------------------|
|              |1                |
| Interval     | Frames |  Bytes |
|--------------------------------|
|    0 <>  120 |   1074 | 845196 |
|  120 <>  240 |      6 |    912 |
|  240 <>  360 |     11 |   2058 |
|  360 <>  480 |     11 |   2042 |
|  480 <>  600 |     27 |  10644 |
|  600 <>  720 |     13 |   2524 |
|  720 <>  840 |      6 |    912 |
|  840 <>  960 |      6 |    912 |
|  960 <> 1080 |     11 |   1930 |
| 1080 <> 1200 |     15 |   2686 |
| 1200 <> 1320 |      6 |    912 |
| 1320 <> Dur  |    123 |  95666 |
==================================

Seperti yang kita lihat di atas, kita melihat pola 6 frame dan 912 byte pada 4 interval dua menit yang berbeda.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r MS17_010 - exploit.pcap -q -z io,stat,120,"MAX(frame.time_relative)frame.time_relative",ip.addr==10.0.0.90,"MIN(frame.time_relative)frame.time_relative" -t ad
=====================================================================
| IO Statistics                                                     |
|                                                                   |
| Duration: 1359.431051 secs                                        |
| Interval:  120 secs                                               |
|                                                                   |
| Col 1: MAX(frame.time_relative)frame.time_relative                |
|     2: ip.addr==10.0.0.90                                         |
|     3: MIN(frame.time_relative)frame.time_relative                |
|-------------------------------------------------------------------|
|                     |1            |2                |3            |
| Date and time       |     MAX     | Frames |  Bytes |     MIN     |
|-------------------------------------------------------------------|
| 2018-02-24 22:20:15 |   85.649770 |   1074 | 845196 |    0.000000 |
| 2018-02-24 22:22:15 |  206.367818 |      6 |    912 |  145.984684 |
| 2018-02-24 22:24:15 |  327.462658 |     11 |   2058 |  266.594469 |
| 2018-02-24 22:26:15 |  467.993210 |     11 |   2042 |  387.750787 |
| 2018-02-24 22:28:15 |  596.869106 |     27 |  10644 |  528.390247 |
| 2018-02-24 22:30:15 |  699.492896 |     13 |   2524 |  618.804501 |
| 2018-02-24 22:32:15 |  820.258716 |      6 |    912 |  759.858036 |
| 2018-02-24 22:34:15 |  941.086732 |      6 |    912 |  880.615586 |
| 2018-02-24 22:36:15 | 1070.588021 |     11 |   1930 | 1001.436265 |
| 2018-02-24 22:38:15 | 1187.508831 |     15 |   2686 | 1130.896538 |
| 2018-02-24 22:40:15 | 1308.274574 |      6 |    912 | 1247.825192 |
| 2018-02-24 22:42:15 | 1359.431051 |    123 |  95666 | 1351.488699 |
=====================================================================

Di atas kami memperluas saya, status mengambil informasi tambahan dari IP tertentu.

Akhirnya, jika Anda ingin mendapatkan wawasan tentang perintah SMB yang terlihat di PCAP, Anda dapat menggunakan seseorang, srt.

┌──(root💀securitynik)-[~/tshark-series]
└─# tshark -n -r MS17_010 - exploit.pcap -q -z smb,srt
===================================================================
SMB SRT Statistics:
Filter: smb.cmd
Index  Commands               Calls    Min SRT    Max SRT    Avg SRT    Sum SRT
   43  Echo                        2   0.000072   0.000087   0.000080   0.000159
   50  Trans2                      2  10.136100  10.242747  10.189424  20.378847
  115  Session Setup AndX          4   0.000081   0.000117   0.000099   0.000396
  117  Tree Connect AndX           2   0.000103   0.000110   0.000107   0.000213

Filter: smb.trans2.cmd
Index  Transaction2 Commands  Calls    Min SRT    Max SRT    Avg SRT    Sum SRT

Filter: smb.nt.function
Index  NT Transaction Sub-Commands Calls    Min SRT    Max SRT    Avg SRT    Sum SRT
    0  <unknown>                   2   0.000087   0.000154   0.000121   0.000241
==================================================================

Baik! Itu saja untuk posting ini. Ada lebih banyak statistik untuk Anda manfaatkan, tergantung pada protokol yang Anda gunakan. Bersenang-senang menjelajahi!

Referensi:
tshark – Penganalisis Jaringan Wireshark 3.4.7
Semua PCAP dapat ditemukan di halaman GitHub saya

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.