Una herramienta forense digital: para visualizar una captura de paquetes de la red como un diagrama de red que incluye la identificación del dispositivo, resalte la comunicación importante y la extracción de archivos.
Especificación de diseño PcapXray
Objetivo:
El especialista en seguridad informática, con un archivo Pcap, grafico un diagrama de red que muestra los hosts en la red, el tráfico de la red, destaque el tráfico importante y el tráfico Tor, así como el tráfico malicioso potencial, incluidos los datos involucrados en la comunicación.
Problema:
La investigación de un archivo Pcap lleva mucho tiempo dado un error inicial para iniciar la investigación y cada investigador de forense y cualquier persona enfrenta este problema cuando esté analizando la red
Ubicación: https://github.com/Srinivas11789/PcapXray
Solución: acelerar el proceso de investigación
Haga un diagrama de red con las siguientes características de un archivo Pcap. Características principales de la herramienta:
Diagrama de red – Resumen Diagrama de red de red completa
Información:
Tráfico con detalles del servidor, Tráfico Tor, Posible tráfico malicioso, Datos Obtenidos del Paquete en el Informe – Dispositivo / Tráfico / Carga Útil y Detalles del dispositivo.
Componentes:
Diagrama de Red, Dispositivo / Detalles y análisis de tráfico, Identificación de tráfico malicioso y Tráfico Tor.
GUI: una interfaz gráfica con opciones para cargar archivos pcap y mostrar el diagrama de red
Bibliotecas de Python utilizadas: – Todas estas bibliotecas son necesarias para la funcionalidad
- Tkinter y TTK – Instalar desde pip o apt-get – Asegurarse de que Tkinter y graphviz estén instalados, el profesional en seguridad informática dice que la mayoría de Linux los contiene por defecto.
apt instalar python-tk
apt install graphviz
- Todos estos están incluidos en el archivo requirements.txt
Scapy – rdpcap para leer los paquetes del archivo pcap
Ipwhois – para obtener información whois de ip
Netaddr – para verificar el tipo de información de IP
Pillow – biblioteca de procesamiento de imágenes
Stem – tor biblioteca de obtención de datos de consenso
pyGraphviz – gráfico de diagrama
Networkx: gráfico de diagrama
Matplotlib – gráfico de diagrama
Desafíos:
Inestabilidad de la GUI TK:
La decisión sobre la GUI entre Django y TK, se estableció en tk para una interfaz local simple, la inestabilidad de la tk gui causó una serie de problemas.
Trazado de gráficos: Trazar un gráfico de red apropiado que sea legible a partir de los datos obtenidos.
Errores conocidos:
Memoria acumulada: De acuerdo al especialista en seguridad cibernética, algunas veces, la acumulación de memoria ocurre cuando hay menos memoria RAM en el sistema, ya que los datos almacenados en la memoria del archivo pcap son enormes. Debe corregirse moviendo datos a una base de datos. que la memoria misma
Condición de race: Debido al enlace principal de los TK gui, otros hilos podrían sufrir una condición de race. Debería solucionarse pasando a una implementación de TT. o GUI web mejor estructurada.
Inestabilidad de Tk GUI: la misma razón que la anterior.
Si se produce alguno de los problemas anteriores, la barra de progreso continúa ejecutándose y no se genera ninguna salida, se requerirá un reinicio de la aplicación.
Futuro:
Cambie la base de datos de JSON a sqlite o a una base de datos prominente, debido a la acumulación de memoria. Cambiar de interfaz a uno basado en web como Django, hace la aplicación más estable, según los expertos en seguridad informática.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
