Curso de Forense Computacional - Aula 6 - Parte 2 - Análise Forense em Redes

o olá pessoal para mais uma aula hoje a segunda parte da aula de análise forense em rede aí ela pegou e falou sobre vai deixar aqui lá e algumas ferramentas do whale shark como ferramenta para gente ficar alguns ataques né e como uma excelente ferramenta para trabalhar com forense em redes análise redes entrou chuva gente tá então a nossa agenda hoje é velho fica mais alguns ataques e com ele shake muito forte quando eu essa esporte óbvias né ao esporte é que não nenhum não é um ataque mas é uma forma de vocês porta-objetos tá

e depois eu trazer as ferramentas que eu explico e o capa da laís para gente ter uma noção de outras ferramentas que faz análise não análise live né mas que eu salvo o backup com ele chá vou deixar ou então eu preciso acontecer perdão porque a gente nem comentou né aguentando descer perdeu tem uma ferramenta de ele cubano tá semelhante ao orixá que só que nem ele incomoda né você é aquele certo muito boa também se a gente ferramenta tem várias opções né várias parece forma de capturar de fazer filtros e a como nessa beleza

bom então aqui é uma forma de gente analisar a senha no wi-fi shark é outra coisa né nós chega aí pode analisar tanto live né quando sua avó picape fazer nada você pode morte também dá não não tem problema ou tudo bem só para ficar claro então número de foto né eu tô vendo aqui um o tráfico de gelo normal a gente consegue fazer um filtro quando eu começo a ver que ele usa pro tá vendo deixa eu ver seu médico aqui tem um rico creche tá isso aqui ó ftp tá então ele usa bro

aqui que acontece a gente pode clicar nessa nesse pacote aqui na e vem aqui aquele subir lá em cima odeio e quando a gente veio o cérebro aqui ó coma de rick creche clicar com o botão direito do mouse vai abrir essa tela e vai abrir que é prepara filtra tá vendo ou celestes então eu procurar um filtro para preparar um filtro baseado num coma de rick west e o ftp tranquilo então a representative aqui como de rir quest eu boto o quê como de igual e usa tá bem que ou ftp squash com igual

a ps porque eu tô requisição ele usa recebendo peça exame usa saber não cresce beleza então coloca aqui ó a estrutura hora né para fazer ou usar o pés então ele vai mostrar aqui todos os pacotes que tiver we use o peças ok quer utilizado como uma ataque de brute force porque se eu tenho várias dicas de são dessa em poucos segundos então tem alguém tentando descobrir qual é a senha do ftp tá bem então e os é bro o ps1 e o cérebro ps2 tem um problema do cara descobriu aqui través de 15 de

através de uma maneira lá engenharia social que foi aqui que os é bro e a senha é de número tá então ele tá tentando aqui um dois três quatro cinco tá vendo 12 e vai tentar até o ar eva então ela quer vir ninguém e esse ataque da então 92688 61 beleza eu posso iniciar e fazer o filtro aqui do time né mas como entrou na aula passada ele mostra o horário e o dia certinho então isso aqui eu já consigo saber que esse p926d 561 nesse horário aqui né que dá o time de início

na verdade mas eu consigo alterar isso aí que eu falei então você vê o horário dia não deixa origem e depositando esse app né só esse destino aqui tá você comer sentir um lugar ele ficou tentando grupo de vossa beleza então ele consegue já limitar e nosso campo de de análise aqui tudo bem pessoal em relação à para que fosse isso com ftp eu posso analisar com ssh http com outras protocolos tá que passa pomada de bruteforce tudo bem outra tá que conheci não é o pote cana que seria uma prévia para saber quais serviços

estão sendo executados no alvo né esse do lado do atacante então o ataque de porte hatake tho e tchau verificação tais aqui ele pode se cansado ou não a tarde então tem um atrito em relação fins mas enfim vamos analisar aí você bater na porta de alguém né o passar e olhar se aquela janela aquela porta tá aberta tá então quando a porta está aberta né o meu scanner né tem envia um sim tá para o meu alvo né aqui perceber né outro and shake ou tablets e a porta tá aberta ele manda um sim

aqui tá quero fechar outro eu errei e os canas se não fosse um estranho né se fosse a conexão de um cliente normal ele responder eu que aqui com aqui preço e aí o fechava o meu tio e achei que ele fechar o meu conexão ele estabelecia o processo complicação é irmã teria né a troca de pacotes ali beleza então como o meu isqueiro né não quer não é o que ele não quer estabelecer comunicação com ele o que que ele faz ele manda uma essência tá pra fechar com o edson beleza então quanto o

meu ao e com sim aqui então a porta está aberta quando o meu scanner envio sim e otávio eu tive um reset é aqui beleza então aí tá dizendo o que que a porta está fechada não tem nada para ele interage ali beleza então dessa forma aí consegue analisar uma das formas de verificar que a porta está fechada ou aberta você tá aberta é provável que esteja executando algum serviço do outro lado tá então ele pode começar a utilizar o boné greve é o ataque nele contém greve na função deles numeração né dê para verificar

qual é o serviço e a versão dos serviços executados na baixar música muito interessante fazer isso é o inimigo né beleza então faça mais iniciar o primeiro né o skane aí deu a nenhuma igreja para saber qual é o serviço que estou sendo executado e diversões aquele serviço para posterior fazer um ataque tá bom então para gente né com nada de defesa ali a forma de perceber isso né já tenho aqui ó no meio deste nicho né a maioria eu tenho sempre o número 3 aos 92 mil de 763 como destino e eu tenho várias

empresas aqui de origem tá então nós 2764 eu tô na mesma rede né ó na porta de origem 5982 carbono destino e 25 mandando sim beleza tchau 763 e vai responder 764 quer um resete a que quer dizer o que que a porta tá a cabeça aí fechado beleza então a porta 1025 tá fechado então até outro e aqui ó 1051 10 na mesma bota de origem ou envia também pode destino sem 24 de mesma origem que o mesmo e china tá então eu posso ser um seção 1 é um ataque na igreja um serviço

não é porque vou alterar os efeitos aqui depois tá vendo não é então quer dizer que eu não pode ficar aqui que eu ver mais fortes mais forte diferente akira beleza então eu posso ter várias máquinas aqui né vários origem fez de origem thanou acessar descobrir com essa porta ou isso aqui é chamado de decor né deixar uma ferro uma se negado unimep e você consegue enviar aqui ele mandando vale aquisição como se fosse peixe wagner ele fato só vai ter um tá então essa que possa uma possibilidade porque porque ali envia ou 7:30 e

só responda por 764 sabendo da kia 7 64 é o que recebe a resposta nem o outro é recebe tá vendo o outro pacote ser então provável que aqui eu tenha aí peixe chamado de decote tá beleza então 764 ele mandou aqui ó sim né depois daquele se aquela da porta século 19 beleza e aqui responde o reset é que confirmando que tá fechado tá e aqui continua continua aqui há 764 aqui ó nesse pacote 1676 quadra 1763 agora na porta 53 sim tá que acontece pacote 17 à 7:30 3764 responde aqui ó sim é

que culpa se ele respondeu sim é que então quer dizer o que que a porta 53 do 192 168 763 está o que está aberta está uber beleza a quando ele tá na é fechado ele manda aqui umas sete é que aqui em cima né quando ele tá aberto bolsinho aqui beleza e temos outras empresas aqui enviando a 1051 1092 1824 vendo vários pacotes e aqui ó 764 manda para ele aquilo sim ele recebe o sim aqui a hora volta né fora de ordem a atribuição beleza depois ó aqui ó pacote 29176 4763 mandam quebrei

ele ó um reset beleza tava aberto respondeu assim é que aqui em cima é que ele manda que uma recebe dizer nós não quero mais conversa com você beleza e aqui embaixo você tem 64 que tem outra porta tá 1723 beleza é que eu 73 pontos e ele manda aqui ó recente é que essa porta 1723 tá fechada beleza pessoal deu para entender que mais ou menos fazer um nariz e padrões aí como é que funciona isso então tem que ó que a 763 horas quantidade de pacote me lembra gente falou para fazer o a

análise era aqui aqui ó 763 tá detalhamento de estatística i pv4 17 mil pacotes são endereçadas a 763 eu tenho quatro mil ao 765 e mil a quatro e depois outro tá vendo como esse daqui são trabalha com origem né beleza tanto que o pacote de três mídia seria 2743 já tô mais ou menos um padrão tá de envio de pacotes de peixes né pacote suas mentiras pacote embaixo e recebido nada aí não recebem nada a entrada por favor caracterização viu de decore perda corre esses dois aqui que só na mesma rede não há eles

estão pode transmitir algumas esse aqui ou 764 transmitiram receberam bem menos do que aqui do outro lado o 763 que foi o alvo de cipó-titica beleza oi aqui é outra forma né aquele bv4 né do lago aqui eu tenho way the point nela que vai deixar status que a gente pode se ver que prevê que a gente tava no pv quatro anteriormente só na bv 4 agora na sp data do protocolo a gente vê aqui ó quantidade de pacote que o 1031 10 um enviou a porta de origem dele portas altas somente um pacote tá

e cuidar de baixo aqui de viola beleza esse aqui tem que enviou um pouco mais pacote nessa porta beleza kkk não quer ver só que a gente comentou anteriormente beleza e agora quando a gente inverte aqui para ver as fotos aí tava filtrando anteriormente né aqui ó pelo pelo ip tá chama ele p10 agora quando a gente frio daqui ó ordem na verdade pelo porta 763 é um porta 3467 93 não necessariamente né a forma do do pote que ele vai acontecer de forma a sequencial tá se alternando vai soltando as portas ele é é

o mais é que eu consigo verificar né o fato meio do do ele pode aqui eu já que pode todos a forma aqui ó a correta ordenada beleza então o meu 763 now 12073 era o alvo tá vendo eu gosto de todas as portas aqui saindo sendo escaneados para saber se tava aberto alguma tava aberto ou não era você vai mãe dessa ftp tava aberto aqui ó tem mais tráfico dentro dela peixinho beleza e rx lá certo é consegue ter ao nariz aqui de padrões sobre isso beleza ficou claro aí aqui sobre pote de cana

então 765 analisar aqui i-765 aqui em cima 763 lá a porta alta tem uma porta alta aqui deixa essa 993 responde com esse aqui é aqui então meu 765 também era um atacante que o atacante né o tava fazendo um pote cam era o origem do meu pote tá aqui ó 76 assim tanto o 4764 4765 estávamos fazendo onde ganhar a porta do 763 tá bom beleza 765 sim da porta 554 sim aqui aqui a porta 80 ele respondeu sim aqui na esse pacote 4.651 semana que vem viu oi aqui é a 5 6 7

6 5 horas a porta 80 sim ele vai responder o trecho onde consigo sim sim aqui beleza depois aos cinco vai responde aqui o receto tem uma porta 80 tá aberta aqui a porta 22 ele responde opa sem aqui beleza recebe 42 tá aberta aqui ó porta 53 eu posso fazer três tá aberto beleza porta 8080 tabela que saiu na frente mas a porta a gente também tá aberto aqui agora o pagamento aqui é só o sim não tem o senhor que tá aqui em baixo tá o reset é que tá aqui embaixo não tá

fechado beleza aqui tá fechado tá então pode 80 porta vi dois pontos que ele três estão abertas não 763 tá e o 765 tá fazendo essa essa varredura beleza você ficou claro aí um ataque de negação de serviço né como é que qual a diferença né que caracteriza a diferença de um pote cândido de negação de serviço e aí ó característica principal né é esse aqui ó tá vendo sempre no meu destino ó o tenho várias portas de origem diferente né portas altas ali e valentina sempre qual sempre me eu possa sempre a porta 80

80 80 80 tá bom então ó sempre origem ip diferente tá aprendi diferente e aqui meu destino sempre o mesmo ímpeto tá então esse aqui eu posso caracterizar como um ataque de negação de serviço distribuída vários espelhos vários e pênis quentes da seguinte fato quase 6491 7973 blablablá sempre endereçado ao mesmo ip tá com portas é diferente em origem e a mesma porta de china tá e aqui ó presta atenção aqui no meu time já tá o horário aqui ó 1459 4014 canal 40 mesmo segunda tá e onde é que é o pênis seguro beleza

tranquilo então mostrando aqui que isso não tá gastando serviço distribuído tá vendo e ativa o horário 1459 40 certo tem como colocar também o dia aqui tá tá vendo quando eu fico aconteceu isso beleza outra característica que é o com 14 segundos aqui é a nasa foi salvo o teu banho aos seis mega o rege ou tipo de captação internet quando foi capturado esse aqui né começou aqui terminou ele fica tudo segundos apenas mas eu tenho aqui quase 6 megas beleza 6026 kilobyte tá pode assistir direito time 14 segundos beleza então a gente viu o

anterior vem aula anterior que eu tinha windows de pouco né que é aquele cm peixe é o que a gente analisou e com uma vontade bem me chama de pacote tá acho que tenha 1000 pacote por um minuto e meio tá que era um covarde e controle na instituição de idade e aqui eu tenho 14 a cidade de 100 mega mais ou menos beleza há aqui outra forma de análises é 65 mil pacotes o endereço da dor samuel eto' deixar você dormir pacotes ao o 7437 4265 a porta 80 tá da de baixo ela traz

medindo nada aqui só recebido tá então só lixo beleza bom então é esse que era o alvará e o resto tudo com tecidinhos agora deixes como o os atacantes ali para aquele álcool beleza outra coisa interessante acontecendo ali já que você fazer uma conversa de um protocolo comum de com http msm bt ftp é você transmita de ver as imagens na casa do de cone é o dayco você tem imagem médica ali de radiografia de mamografia ultra-sonografia então através dessa se você tivesse snifam na linha rede né tá você consegue exportar a imagem e os

dados daquela conversa ali por exemplo então waking firesport objeto http beleza você tem que ir né mostrar a lista enormes aqui ó de idade que tem http então as imagens é scripts tá vendo png mp3 audio página html e aí você seleciona aqui então e e vai para a sua pasta e vai ter cuidado lá vai para aqui passo a passo a passo chegar a parte que você escolher vai salvar tudo agora que cuidado porque se tiver algum tráfico aparecer usa vida eu vou mal ele vai acontecer se vocês é só máquinas o padrão você

pode ser infectado agora interessante aqui em salvar tem que dar uma marca né é uma handbox o mais difícil fazer uma análise tá que isso acontecer tá você tá certa falou preparada né para ele sair tecshot para que consiga recuperar ali ai mas se você não vai ter oito ó beleza pessoal ficou claro aí relação agora que você pega esporte objects e agora vamos falar sobre as duas ferramentas que comentou vinícius né primeiro é acha explico tá e aí eu gosto de briga de sair um clássico de internet e nós deve centrar-se na internet os

dados dos aplicativos pontos nela com ele falou semelhante agora me falou http escort hobby jackson a gente consegue extrair informações agora muito mais elaborado e fala muito mais fácil de entender tá eu por exemplo neste link e consegue extrair e-mail protocolo como pop smtp que a gente comentou antes de aumentar então consigo extrair o se tivesse tráfico o primeiro consegui sair e verificar tá todo o conteúdo http chamadas voip ftp tftp forever beleza então preste atenção ele não é um analisador de protocolos de rede tá ela é um ano e fácil né o network forensics

forensic analysis analysis to né então é uma ferramenta de análise forense rir beleza então eu posso fazer o backup né salvo o backup ali com charque o tcpdump como deixar o que for que jogo dentro do explica para fazer salário beleza 10 ali com os explico beleza então gente público também não ele é lindo né general public license gpl é um sofre livre você pode melhorar baixar o código-fonte melhorar tá e república novamente então é de uma diferença explica estrada para distribuição digital já vender do caso do backtrack 5 quando segue o défice a seguir

de óleo e etc se a diferença tá não tem de tudo simples né beleza mas aí então procurar serviço http cpmf pop smtp desse pedrap não é multiuso multi usuários podem acessar tá aí tem interface web ali é com o banco de dados técnico sqlite mais kelly eu puxo beleza e eu sempre pode ser usado como uma ferramenta de análise forense em redes da nuvem ah tá então quem quer fazer xixi explico tá então por exemplo fazer análise e-mail então eu ver aqui ó a data que foi enviado 14/2007 tem um e-mail e aí quem

foi enviou que recebeu tá aqui o tamanho desse pacote então você consegue clicar aqui e verificar beleza viu o pai do cabeçalho aqui né parte dele né e conseguiu verificar aqui ó a mensagem inteira tá beleza inclusive se tem a a tati né anexo à mensagem ou não beleza outra coisa consegue ver é as imagens tá você merece quem tiver http objeto tem que suporta a gente consegue suportar imagem consegue ver a creche perigo tá botou o pecado lá que você que vai ficar demais aqui ó que tava rolando tá dentro do de página web

ftp do que fora tá frio ah e outra ferramenta é o capu análise está que ele faz uso explico por baixa só que eu achei mais interessante assim a forma dele mostrar mais intuitiva tá então presta lá dentro do se fritar muitos assunto dpkg você baixa primeiro cá para las as diferenças tem o link lá capa mais então você balada aplicativo gente vai mostrar que tem alguns pacotes independência tá quem faz apt-get install - fl vai instalar independência que foram mapeadas naquele comando dpkg menos ir depois você manda e não depois kg - ir ele

já tem salvo a as dependências instaladas dependências e ele vai instalar de boa certo e aí a você vai abrir lá eu quero mostrar 987 abre o capricho cap store tá rodando campeona lares você vai fazer cuidar primeiro salvar só 1000 peças só uma pessoa que vai pedir para fazer criar um banco de idade tá então você escolhe como você quer fazer e você quando quiser aí vou subir um arquivo tá só que o problema foi sobre o arquivo o arquivo ele era superior a quente mega então o espelho ele não tem essa alimentação tá

e mega mas o capim mais essa alimentação do máximo de 500 metros então isso assim não torna problema porque a gente consegue fazer né no split tá dentro do meu dessa minha esse meu pecado aqui tá sempre captura tá botei 3336 que você ganhar 600 e pouco o máximo então aí depois eu venho consigo subir aqui uma boa tá cadê aqui para subir tá vendo eu me acc de ser 2010 consigo fazer o piloto dele sem problema o ovo tá para você consegue criar também outros outros a cabeça e consegue aumentar isso aqui também tá

então depende da situação dependendo do caso né ah você consegue fazer esse sai escrito e vou ter cuidado para fazer análise correta né tá como fazer um a bolsa grátis xp per ela então aqui hotel quando ele foi o arquivo de fluxo tá eu não tenho tarefa que iniciando 16 de março 2012 ou tempo 39 e pedir origem e destino a porta deu deixe porta lixinha vr4 pode descer protocolo tal quando você gosta de beleza então todo o tráfico aqui com mais de 1.100 até que ele vai limpar tudo sobre do a duas shark beleza

só que aqui tem muito mais informações é natal na água aqui do lado deve que o lado conseguiu overview você quer ver a quantidade de data né andar de pacote também recebido beleza o data consigo ver aqui ó acordado de pacote no fluxo eu venho aqui pouco para o protocolo grupo aí foi lá cola por dia consigo verificar essa análise aqui choveu o nome de estatística certo que eu consigo vai buscar esse gráfico até bonito né a protocol ó e aqui eu tenho pouco a está http dns para ficar aqui em cima beleza cmb cmtp

tá http aqui ó tá endereçando os protocolos a edp bem s thakur cp e as origem por país da rocinha israel beleza outra forma que análise estatística na lei que eu vi viu a chave de fluxo aqui ó 926 82 83 2/79 tá faculdade de pacote de ip de destino versus beleza então o 20644 tem mais pacotes protocolo de desconhecidos então tem mais legal de coisas aqui igual o suspeito né tá mesma coisa que começou sp data sente e etc beleza por países ó o país aqui que não tá no estado ea duração do fluxo

também viu meu segundo seu segundo ali e aí hoje o map consegue ver também tem um fluxo brasil beleza e tem que interrogação certo e outro país que estava envolvido dentro desse tráfico de rede beleza aí pedir original tenho t3 tudo a mesma rede tá e aqui apesar de filtros né beleza pacotes enviados ou dali bar desculpa envie as aulas aqui no 202/96 teve 2.0 mh ou 281 14.9 mega beleza é cuidado pacote recebido também esse aqui ó 7:30 tem dois três mega a receber algum download aqui beleza oi raquel telefone da cola qual a

quantidade a cuidado maior de protocolo estava sendo utilizaram desconhecidas ipê antibes dns dhcp skype beleza esse conhecido pode ter sido o bittorrent tá beleza ocorre tava otimizar aí vai bota como te conhecido tá beleza você consegue todo uma análise né de gráfico bonito é interessante para fazer um relatório beleza a conta de conexões por data agora aqui em cima da data recebi de conexão hdmi de dados enviados trabalho são beleza então mais informações precisar de cheque do crise então tá eu vivo utilizado como diferença e tem alguma informação sobre a parte de pectus deep packet

inspection que a gente comentou na aula anterior entrou aí chata tá e outra ferramenta já a o pensou se e ou não né tem uma chama comercial cabelo daqui desse aqui utiliza oi isa dryer lançamento do infoseg instituto também tem ultimamente se mostrando tem várias ferramentas exclusivas que a gente comentou e pode deixar aqui e o canallas né comentando tem a maria a maria livre tem os comerciais também e tem esse artigo de hoje aqui tá de 2013 2003/2013 que também é muito interessante também traz algumas ferramentas elástico ficando algumas dele aqui nesse show só

que tá dizendo tratamento um pouco maior tá beleza aqui eu tenho com as diferenças certo utilizadas e é isso aí até a próxima aula