Melanjutkan seri ini mempromosikan SANS SEC503: Deteksi Intrusi di Kedalaman. Dalam posting ini, kami melihat menu statistik TShark.
Untuk melihat statistik yang tersedia, kami memanfaatkan tshark -z bantuan: Di bawah ini menunjukkan snapshot dari output ini.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -z help tshark: The available statistics for the "-z" option are: ... conv,eth conv,fc conv,fddi conv,ip conv,ipv6 conv,ipx conv,jxta conv,mptcp conv,ncp conv,rsvp conv,sctp conv,sll conv,tcp conv,tr conv,udp ...
Saat menganalisis PCAP, kemungkinan besar, Anda akan melihat: Hirarki Protokol, ayo lakukan itu.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r hydra_port_445.pcap -q -z io,phs =================================================================== Protocol Hierarchy Statistics Filter: sll frames:11337 bytes:1289873 ip frames:11337 bytes:1289873 tcp frames:11337 bytes:1289873 nbss frames:3925 bytes:767089 smb frames:3925 bytes:767089 vssmonitoring frames:14 bytes:868 ===================================================================
Melihat titik akhir dalam file PCAP, selalu membantu untuk memberikan visibilitas ke host terlihat di jaringan Anda dan bagaimana mereka berkomunikasi, yang berkaitan dengan byte dan paket.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r hydra_port_445.pcap -q -z endpoints,ip ================================================================================ IPv4 Endpoints Filter:<No Filter> | Packets | | Bytes | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes | 10.0.0.102 11337 1289873 6866 812766 4471 477107 10.0.0.104 4491 514851 1755 191201 2736 323650 10.0.0.106 4445 510943 1709 187293 2736 323650 10.0.0.105 2246 246142 938 91528 1308 154614 10.0.0.90 150 17425 67 6955 83 10470 10.0.0.103 5 512 2 130 3 382 ================================================================================
Demikian pula, kita dapat melihat Titik Akhir TCP.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r hydra_port_445.pcap -q -z endpoints,tcp | more ================================================================================ TCP Endpoints Filter:<No Filter> | Port || Packets | | Bytes | | Tx Packets | | Tx Bytes | | Rx Packets | | Rx Bytes | 10.0.0.104 445 4491 514851 1755 191201 2736 323650 10.0.0.106 445 4445 510943 1709 187293 2736 323650 10.0.0.105 445 2246 246142 938 91528 1308 154614 10.0.0.90 445 150 17425 67 6955 83 10470 10.0.0.102 57662 13 1420 7 828 6 592 10.0.0.102 52916 13 1400 7 844 6 556 10.0.0.102 52936 13 1400 7 844 6 556 ...
Titik akhir TCP (dan juga UDP) sangat membantu. Seperti yang Anda lihat di atas, Anda juga memiliki byte dan paket yang dipertukarkan pada port yang digunakan host pada titik waktu tertentu. Misalnya, Anda melihat tiga port berbeda yang dilaporkan untuk titik akhir di IP 10.0.0.102.
Meskipun informasi titik akhir berguna, Anda mungkin ingin melihat percakapan yang terjadi di antara titik akhir. Melihat percakapan Ethernet sangat membantu untuk melihat host berkomunikasi di LAN lokal. Mungkin membantu untuk mengidentifikasi gerakan lateral. Hampir setiap hari, host internal Anda akan berkomunikasi dengan server lokal ke subnetnya atau routernya (gerbang default). Ketika ada banyak alamat Ethernet yang berkomunikasi yang tidak terkait dengan server atau gateway default, ini mungkin menjadi perhatian.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,eth ================================================================================ Ethernet Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | 00:22:19:01:ef:0d <-> cc:b0:da:ba:42:39 39 2,532bytes 78 112kB 117 114kB 0.000000000 27.1526 ================================================================================
Di atas menunjukkan wawasan yang baik tentang dua alamat MAC yang berkomunikasi di LAN.
Pindah ke percakapan IP.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,ip ================================================================================ IPv4 Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | 146.66.65.213 <-> 192.168.0.26 37 2,424bytes 76 112kB 113 114kB 26.904525000 0.2481 72.21.91.29 <-> 192.168.0.26 2 108bytes 2 120bytes 4 228bytes 0.000000000 0.0019 ================================================================================
Kami sekarang memiliki wawasan yang lebih baik tentang komunikasi IP. Seperti yang diharapkan dengan percakapan, kami memiliki informasi tentang bingkai, byte, durasi, dll.
Menggali sedikit lebih dalam …
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z conv,tcp ================================================================================ TCP Conversations Filter:<No Filter> | <- | | -> | | Total | Relative | Duration | | Frames Bytes | | Frames Bytes | | Frames Bytes | Start | | 192.168.0.26:50237 <-> 146.66.65.213:80 76 112kB 37 2,424bytes 113 114kB 26.904525000 0.2481 192.168.0.26:50230 <-> 72.21.91.29:80 2 120bytes 2 108bytes 4 228bytes 0.000000000 0.0019 ================================================================================
Sekarang kita memiliki pandangan yang lebih intim tentang komunikasi. Kami dapat melihat sepenuhnya sesi yang berkaitan dengan alamat IP dan port tempat komunikasi terjadi. Lebih penting lagi, Anda dapat melihat frame, byte, durasi, dll.
Sekarang kita tahu ada komunikasi HTTP yang terjadi di atas, mari kita ambil beberapa statistik HTTP.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http,stat =================================================================== HTTP Statistics * HTTP Status Codes in reply packets HTTP 200 OK * List of HTTP Request methods GET 1 ===================================================================
Di atas, kita melihat informasi tentang kode status HTTP dan metode permintaan. Sepertinya hanya 1 metode permintaan yang ditemukan di PCAP.
Ini selanjutnya dapat dikonfirmasi dengan mengekstraksi http.request.method bidang
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -T fields -e http.request.method | sort | uniq GET
Pindah dengan statistik HTTP lainnya, melihat pohon permintaan
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http_req,tree ================================================================================================================================================================= HTTP/Requests: Topic / Item Count Average Min Val Max Val Rate (ms) Percent Burst Rate Burst Start ----------------------------------------------------------------------------------------------------------------------------------------------------------------- HTTP Requests by HTTP Host 1 0.0041 100% 0.0100 26.912 worldtoptop.com 1 0.0041 100.00% 0.0100 26.912 /wp-content/uploads/2011/05/kaieteur_falls.jpg 1 0.0041 100.00% 0.0100 26.912 -----------------------------------------------------------------------------------------------------------------------------------------------------------------
Di atas kami melihat permintaan dibuat untuk worldtop.com untuk sebuah file kaieteur_falls.jpg. Melihat ke pohon server …
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q -z http_srv,tree ================================================================================================================================================= HTTP/Load Distribution: Topic / Item Count Average Min Val Max Val Rate (ms) Percent Burst Rate Burst Start ------------------------------------------------------------------------------------------------------------------------------------------------- HTTP Requests by Server 1 0.0041 100% 0.0100 26.912 HTTP Requests by Server Address 1 0.0041 100.00% 0.0100 26.912 146.66.65.213 1 0.0041 100.00% 0.0100 26.912 worldtoptop.com 1 0.0041 100.00% 0.0100 26.912 HTTP Requests by HTTP Host 1 0.0041 100.00% 0.0100 26.912 worldtoptop.com 1 0.0041 100.00% 0.0100 26.912 146.66.65.213 1 0.0041 100.00% 0.0100 26.912 HTTP Responses by Server Address 1 0.0041 100% 0.0100 27.153 146.66.65.213 1 0.0041 100.00% 0.0100 27.153 OK 1 0.0041 100.00% 0.0100 27.153 -------------------------------------------------------------------------------------------------------------------------------------------------
Di atas menunjukkan permintaan berdasarkan alamat server, nama host, dan akhirnya respons server. Jadi kami yakin bahwa permintaan yang dibuat ke server ini berhasil dikembalikan.
Untuk mengekstrak file “kaieteur_falls.jpg” file, kami melakukan hal berikut:
1. ┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r securitynik_kaieteur_falls.pcap -q --export-objects http,/tmp/ 2. ┌──(root💀securitynik)-[~/tshark-series] └─# ls -al /tmp/kaieteur_falls.jpg -rw-r--r-- 1 root root 107720 Aug 18 22:52 /tmp/kaieteur_falls.jpg 3. ┌──(root💀securitynik)-[~/tshark-series] └─# xdg-open /tmp/kaieteur_falls.jpg &
Pada 1 di atas, kami mengekspor konten dari HTTP. Dalam 2 kami tampil ls pada file untuk memverifikasi keberadaannya. Akhirnya di 3, kami membuka file menggunakan xdg-buka. Seperti inilah tampilan filenya.
Gambar di atas adalah Air Terjun Kaieteur di Guyana Amerika Selatan. Air terjun ini dianggap sebagai air terjun tunggal terbesar di dunia. Pergi berkunjung ketika Anda mendapat kesempatan jika Anda seorang pecinta alam.
Sekarang setelah kita melihat HTTP, mari kita lihat transisi saya, status. Secara khusus, mari kita lihat lalu lintas dari perspektif interval dua menit.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r MS17_010 - exploit.pcap -q -z io,stat,120 ================================== | IO Statistics | | | | Duration: 1359.431051 secs | | Interval: 120 secs | | | | Col 1: Frames and bytes | |--------------------------------| | |1 | | Interval | Frames | Bytes | |--------------------------------| | 0 <> 120 | 1074 | 845196 | | 120 <> 240 | 6 | 912 | | 240 <> 360 | 11 | 2058 | | 360 <> 480 | 11 | 2042 | | 480 <> 600 | 27 | 10644 | | 600 <> 720 | 13 | 2524 | | 720 <> 840 | 6 | 912 | | 840 <> 960 | 6 | 912 | | 960 <> 1080 | 11 | 1930 | | 1080 <> 1200 | 15 | 2686 | | 1200 <> 1320 | 6 | 912 | | 1320 <> Dur | 123 | 95666 | ==================================
Seperti yang kita lihat di atas, kita melihat pola 6 frame dan 912 byte pada 4 interval dua menit yang berbeda.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r MS17_010 - exploit.pcap -q -z io,stat,120,"MAX(frame.time_relative)frame.time_relative",ip.addr==10.0.0.90,"MIN(frame.time_relative)frame.time_relative" -t ad ===================================================================== | IO Statistics | | | | Duration: 1359.431051 secs | | Interval: 120 secs | | | | Col 1: MAX(frame.time_relative)frame.time_relative | | 2: ip.addr==10.0.0.90 | | 3: MIN(frame.time_relative)frame.time_relative | |-------------------------------------------------------------------| | |1 |2 |3 | | Date and time | MAX | Frames | Bytes | MIN | |-------------------------------------------------------------------| | 2018-02-24 22:20:15 | 85.649770 | 1074 | 845196 | 0.000000 | | 2018-02-24 22:22:15 | 206.367818 | 6 | 912 | 145.984684 | | 2018-02-24 22:24:15 | 327.462658 | 11 | 2058 | 266.594469 | | 2018-02-24 22:26:15 | 467.993210 | 11 | 2042 | 387.750787 | | 2018-02-24 22:28:15 | 596.869106 | 27 | 10644 | 528.390247 | | 2018-02-24 22:30:15 | 699.492896 | 13 | 2524 | 618.804501 | | 2018-02-24 22:32:15 | 820.258716 | 6 | 912 | 759.858036 | | 2018-02-24 22:34:15 | 941.086732 | 6 | 912 | 880.615586 | | 2018-02-24 22:36:15 | 1070.588021 | 11 | 1930 | 1001.436265 | | 2018-02-24 22:38:15 | 1187.508831 | 15 | 2686 | 1130.896538 | | 2018-02-24 22:40:15 | 1308.274574 | 6 | 912 | 1247.825192 | | 2018-02-24 22:42:15 | 1359.431051 | 123 | 95666 | 1351.488699 | =====================================================================
Di atas kami memperluas saya, status mengambil informasi tambahan dari IP tertentu.
Akhirnya, jika Anda ingin mendapatkan wawasan tentang perintah SMB yang terlihat di PCAP, Anda dapat menggunakan seseorang, srt.
┌──(root💀securitynik)-[~/tshark-series] └─# tshark -n -r MS17_010 - exploit.pcap -q -z smb,srt =================================================================== SMB SRT Statistics: Filter: smb.cmd Index Commands Calls Min SRT Max SRT Avg SRT Sum SRT 43 Echo 2 0.000072 0.000087 0.000080 0.000159 50 Trans2 2 10.136100 10.242747 10.189424 20.378847 115 Session Setup AndX 4 0.000081 0.000117 0.000099 0.000396 117 Tree Connect AndX 2 0.000103 0.000110 0.000107 0.000213 Filter: smb.trans2.cmd Index Transaction2 Commands Calls Min SRT Max SRT Avg SRT Sum SRT Filter: smb.nt.function Index NT Transaction Sub-Commands Calls Min SRT Max SRT Avg SRT Sum SRT 0 <unknown> 2 0.000087 0.000154 0.000121 0.000241 ==================================================================
Baik! Itu saja untuk posting ini. Ada lebih banyak statistik untuk Anda manfaatkan, tergantung pada protokol yang Anda gunakan. Bersenang-senang menjelajahi!
Referensi:
tshark – Penganalisis Jaringan Wireshark 3.4.7
Semua PCAP dapat ditemukan di halaman GitHub saya