Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:analiza_wireshark_alata_u_svrhu_racunalne_forenzike [2021/01/17 18:07]
lgadze [XMAS Scan]
+++ racfor_wiki:analiza_wireshark_alata_u_svrhu_racunalne_forenzike [2024/12/05 12:24] (trenutno)
@@ Redak 24: / Redak 24: @@
 ===== WireShark =====
-WireShark je najistaknutiji i najčešće korišten analizator mrežnih protokola. Omogućuje nam da vidimo što se događa na mreži na mikroskopskoj razini i standard je u mnogim komercijalnim i neprofitnim poduzećima, vladinim agencijama i obrazovnim institucijama. Razvoj Wiresharka napreduje zahvaljujući dobrovoljnim doprinosima stručnjaka za umrežavanje širom svijeta i nastavak je projekta koji je Gerald Combs započeo 1998.
+WireShark je najistaknutiji i najčešće korišten analizator mrežnih protokola. Omogućuje nam da vidimo što se događa na mreži na mikroskopskoj razini i standard je u mnogim komercijalnim i neprofitnim poduzećima, vladinim agencijama i obrazovnim institucijama. Razvoj Wiresharka napreduje zahvaljujući dobrovoljnim doprinosima stručnjaka za umrežavanje širom svijeta i nastavak je projekta koji je Gerald Combs započeo 1998. [1]
 WireShark nam nudi:
   - Dubinski pregled stotina protokola
@@ Redak 35: / Redak 36: @@
 ==== WireShark Filteri ====
-U WireSharku, filteri se odnose na Berkeley Packet Filters, što je zapravo mikroprogramski jezik koji se sastavlja i izvršava u vrijeme izvođenja (engl. //runtime//) nad presretnutim paketima. Koristimo ih u osnovi kako bi odvojili određene pakete od ostalih, odnosno prikazali samo ono što nas zanima. Tako možemo npr. filtrirati samo pakete određenih protokola, kao što vidimo na sljedećoj slici:
+U WireSharku, filteri se odnose na Berkeley Packet Filters, što je zapravo mikroprogramski jezik koji se sastavlja i izvršava u vrijeme izvođenja (engl. //runtime//) nad presretnutim paketima. Koristimo ih u osnovi kako bi odvojili određene pakete od ostalih, odnosno prikazali samo ono što nas zanima. [1] Tako možemo npr. filtrirati samo pakete određenih protokola, kao što vidimo na sljedećoj slici:
 {{:racfor_wiki:screenshot_2021-01-16_at_22.56.25.png?400|}}
@@ Redak 48: / Redak 49: @@
 Obično se prva faza učinkovitih napada sastoji od identificiranja potencijalnih žrtava među strojevima distribuiranog sustava. Jedna od uobičajenih metoda koja se koristi za pronalaženje osjetljivih domaćina je upravo skeniranje. Ta metoda može se promatrati kao neprijateljska internetska potraga za otvorenim vratima kroz koja uljezi dobivaju pristup računalima.
-Sastoji se od slanja poruke na isti i preslušavanja odgovora. Primljeni odgovor ukazuje na status priključka koji otkriva informacije potrebne za pokretanje budućih napada.
+Sastoji se od slanja poruke na isti i preslušavanja odgovora. Primljeni odgovor ukazuje na status priključka koji otkriva informacije potrebne za pokretanje budućih napada. [2]
 ==== PING Sweep Scan ====
@@ Redak 97: / Redak 98: @@
 ==== UDP Scan ====
 Prilkom UDP skeniranja napadač šalje UDP pakete bez nekog pametnog sadržaja na određena vrata. Ukoliko dobije ICMP paket tipa 3 (__koda 3__) kao povratnu poruku to znači da postoji vatrozid, no ako ne dobije ništa to može značiti da su vrata otvorena. U WireSharku UDP Scan otkrivamo filterom icmp.type==3 and icmp.code==3 čime provjerevamo ima li velike količine ICMP paketa tipa 3 s kodom 3, što bi nam ukazivalo na scan.
+Na slici vidimo UDP Scan --> ogromna količina ICMP poruka tipa 3 (destination unreachable), s kodom 3 (port unreachable):
 {{ :racfor_wiki:screenshot_2021-01-16_at_23.00.08.png?600 |}}
-Na slici vidimo UDP Scan --> ogromna količina ICMP poruka tipa 3 (destination unreachable), s kodom 3 (port unreachable).
 ==== IP Protocol Scan ====
-Skeniranje IP protokola korisno je u pronalaženju protokola koji rade preko (iznad) IP-a. Napadač šalje pakete s različitim brojevima protokola, te dobije li povratnu ICMP poruku tipa 3 s kodom 2 zaključuje da se protokol ne odvija. Filter koji bi otkrio ovaj tip skeniranja u WireSharku bio bi icmp. type==3 and icmp.code==2, slično prošlom.
+Skeniranje IP protokola korisno je u pronalaženju protokola koji rade preko (iznad) IP-a. Napadač šalje pakete s različitim brojevima protokola, te dobije li povratnu ICMP poruku tipa 3 s kodom 2 zaključuje da se protokol ne odvija. Filter koji bi otkrio ovaj tip skeniranja u WireSharku bio bi icmp. type==3 and icmp.code==2, slično prošlom. Na slici vidimo IP Protocol Scan --> mnoštvo ICMP paketa tipa 3 s kodom 2 (protocol unreachable), također niže možemo vidjeti i zastavice za protokole koje napadač traži:
 {{ :racfor_wiki:screenshot_2021-01-16_at_23.00.25.png?600 |}}
-Na slici vidimo IP Protocol Scan --> mnoštvo ICMP paketa tipa 3 s kodom 2 (protocol unreachable), također niže možemo vidjeti i zastavice za protokole koje napadač traži.
 ==== ARP Poisoning ====
@@ Redak 125: / Redak 125: @@
 ==== Prikrivene mreže ====
-Prikrivena mreža definirana je kao mehanizam koji se koristi za razbijanje sigurnosnih pravila dopuštanjem propuštanja informacija neovlaštenim procesima ili pojedincima (Cabuk i sur., 2004.). Napadači mogu iskoristiti ove skrivene veze na dva načina, i to naravno na štetu sigurnosti ciljanih sustava. Prvi se način sastoji od kanala za pohranu koji uključuje izravno i neizravno stvaranje memorijske lokacije za pohranu jednim postupkom i čitanje pohrane za drugi postupak. Ovakva pohrana vjerojatno bi povrijedila povjerljivost podataka jer procesi pisanja i čitanja možda nisu autorizirani ili mogu zaobići kontrolu. Drugi način sastoji se od vremenskih kanala koji koriste skrivenu vezu za slanje informacija drugom procesu s ciljem utjecaja na stvarno vrijeme odziva. Detektiranje i preventiranje ovakvih prikrivenih konekcija ključno je jer bi mogle otkriti korisničku šifru računala, podatke o kreditnoj kartici i slične __vrlo bitne__ korisničke podatke. WireShark može otkriti ovakve radnje, te pažljivim ispitivanjem i temeljitom analizom paketa, mrežni inženjeri mogu otkriti i ući u trag skrivenoj FTP vezi (u slučaju FTP prikrivenih konekcija) od početka do kraja, a istovremeno razumjeti sigurnosne štete prouzročene sumnjom na napad. Razumijevanjem učinaka skrivene FTP veze, stručnjaci za mrežnu sigurnost mogu odgovoriti odgovarajućim protumjerama kako bi umanjili moguće štete od napada i osigurali da se podaci u ukradenoj datoteci ne koriste za napad na druge sustave. Osim prikrivenih FTP konekcija postoje IRC (protokol za komuniciranje porukama u stvarnom vremenu, na mreži) kanali. Također jako opasan napad jer kao prvo, hakeri mogu prikriti skrivene IRC kanale u trojanskim konjima i koristiti ih za krađu kritičnih podataka i slati te podatke drugim strojevima pod njihovom kontrolom. Drugo, hakeri mogu koristiti IRC kanale za stvaranje backdoor napada i botneta. Botnet-i se obično šire putem USB pogona s bezazlenim datotekama, ali sadrže skrivene trojanske konje i druge zlonamjerne dokumente. Tajni kanali IRC-a mogu biti daleko najopasniji alat za anonimno prodiranje i nadzor mreže. WireShark nam tu nudi mogućnosti poput gledanja je li korisnik skidao neke dokumente s udaljenog računala, također možemo vidjeti i TCP-baziranu komunikaciju za svaki od IRC paketa (desni klik --> Follow TCP Path) te isčitamo svu komunikaciju između IRC klijenta (žrtva) i IRC poslužitelja. Tako analiziramo podatke koje je korisnik skidao i vidimo što treba promijeniti/maknuti.
+Prikrivena mreža definirana je kao mehanizam koji se koristi za razbijanje sigurnosnih pravila dopuštanjem propuštanja informacija neovlaštenim procesima ili pojedincima (Cabuk i sur., 2004.). Napadači mogu iskoristiti ove skrivene veze na dva načina, i to naravno na štetu sigurnosti ciljanih sustava. Prvi se način sastoji od kanala za pohranu koji uključuje izravno i neizravno stvaranje memorijske lokacije za pohranu jednim postupkom i čitanje pohrane za drugi postupak. Ovakva pohrana vjerojatno bi povrijedila povjerljivost podataka jer procesi pisanja i čitanja možda nisu autorizirani ili mogu zaobići kontrolu. Drugi način sastoji se od vremenskih kanala koji koriste skrivenu vezu za slanje informacija drugom procesu s ciljem utjecaja na stvarno vrijeme odziva. Detektiranje i preventiranje ovakvih prikrivenih konekcija ključno je jer bi mogle otkriti korisničku šifru računala, podatke o kreditnoj kartici i slične __vrlo bitne__ korisničke podatke. WireShark može otkriti ovakve radnje, te pažljivim ispitivanjem i temeljitom analizom paketa, mrežni inženjeri mogu otkriti i ući u trag skrivenoj FTP vezi (u slučaju FTP prikrivenih konekcija) od početka do kraja, a istovremeno razumjeti sigurnosne štete prouzročene sumnjom na napad. Razumijevanjem učinaka skrivene FTP veze, stručnjaci za mrežnu sigurnost mogu odgovoriti odgovarajućim protumjerama kako bi umanjili moguće štete od napada i osigurali da se podaci u ukradenoj datoteci ne koriste za napad na druge sustave. Osim prikrivenih FTP konekcija postoje IRC (protokol za komuniciranje porukama u stvarnom vremenu, na mreži) kanali. Također jako opasan napad jer kao prvo, hakeri mogu prikriti skrivene IRC kanale u trojanskim konjima i koristiti ih za krađu kritičnih podataka i slati te podatke drugim strojevima pod njihovom kontrolom. Drugo, hakeri mogu koristiti IRC kanale za stvaranje backdoor napada i botneta. Botnet-i se obično šire putem USB pogona s bezazlenim datotekama, ali sadrže skrivene trojanske konje i druge zlonamjerne dokumente. Tajni kanali IRC-a mogu biti daleko najopasniji alat za anonimno prodiranje i nadzor mreže. WireShark nam tu nudi mogućnosti poput gledanja je li korisnik skidao neke dokumente s udaljenog računala, također možemo vidjeti i TCP-baziranu komunikaciju za svaki od IRC paketa (desni klik --> Follow TCP Path) te isčitamo svu komunikaciju između IRC klijenta (žrtva) i IRC poslužitelja. Tako analiziramo podatke koje je korisnik skidao i vidimo što treba promijeniti/maknuti. [2]
 ==== Preuzimanja ====
-Nenamjerno preuzimanje softvera ili datoteka s mreže naziva se "drive-by" preuzimanjem. U nekim slučajevima korisnik može odobriti preuzimanje softvera, ali možda neće razumjeti skrivene posljedice koje bi to preuzimanje moglo imati na računalni sustav. Na primjer, preuzimanje može instalirati nepoznate i neželjene izvršne programe. S druge strane, "drive-by" preuzimanja mogu se odvijati bez znanja osobe pomoću trojanskih konja, botneta ili nekog drugog virusa. Cilj "drive-by" preuzimanja sastoji se od instaliranja zlonamjernog softvera (virusa), snimanja unosa korisnikove tipkovnice, praćenja korisničkog pregledavanja, krađe podataka ili otvaranja računala na daljinsko upravljanje. Sve su to vrlo opasni napadi koji narušavaju mrežne standarde, te korisnike mogu __puno__ koštati.
+Nenamjerno preuzimanje softvera ili datoteka s mreže naziva se "drive-by" preuzimanjem. U nekim slučajevima korisnik može odobriti preuzimanje softvera, ali možda neće razumjeti skrivene posljedice koje bi to preuzimanje moglo imati na računalni sustav. Na primjer, preuzimanje može instalirati nepoznate i neželjene izvršne programe. S druge strane, "drive-by" preuzimanja mogu se odvijati bez znanja osobe pomoću trojanskih konja, botneta ili nekog drugog virusa. Cilj "drive-by" preuzimanja sastoji se od instaliranja zlonamjernog softvera (virusa), snimanja unosa korisnikove tipkovnice, praćenja korisničkog pregledavanja, krađe podataka ili otvaranja računala na daljinsko upravljanje. Sve su to vrlo opasni napadi koji narušavaju mrežne standarde, te korisnike mogu __puno__ koštati. [2]
 U WireSharku poruke TCP paketa mogu ukazivati na to da se puno paketa prenosi između poslužitelja i klijenta, što je slučaj kod preuzimanja. Budući da će preuzimanja uglavnom uzrokuju zagušenje mrežnog prometa, neki će se paketi možda izgubiti i trebati će ih ponovno poslati kako bi se osigurala pouzdanost TCP-a. Kod TCP protokola, duplicirani ACK-ovi obično su simptom gubitka paketa. TCP "DUP ACK" poruke su okidač od klijenta koji ukazuje da nije primio zapis (onaj nakon ACK-a). Mnoštvo ažuriranja TCP prozora i TCP DUP ACK poruka u WireShark snimci ukazuje na zagušenja između klijenta i poslužitelja, što bi moglo biti uzrokovano preuzimanjima. Stručnjaci u tom slučaju, promatranjem paketa, mogu zaključiti radi li se o "drive-by" ili običnom (sigurnom) preuzimanju.
+Na slici vidimo napad prilikom preuzimanja, __mnoštvo DUP ACK poruka__:
 {{ :racfor_wiki:screenshot_2021-01-16_at_23.24.02.png?600 |}}
-Na slici vidimo napad prilikom preuzimanja, __mnoštvo DUP ACK poruka__.
 ==== Napadi uskraćivanja usluge (DoS attacks) ====
@@ Redak 150: / Redak 152: @@
 ===== Literatura =====
-[1] [[http://books.google.hr/books?id=mFJe8ZnAb3EC&printsec=frontcover#v=onepage&q&f=false|Plass, Jan L., Roxana Moreno, and Roland Brünken. Cognitive Load Theory. Cambridge University Press, 2010.]]
+[1] [[https://www.researchgate.net/publication/323676233_Handbook_of_Research_on_Network_Forensics_and_Analysis_Techniques|Gulshan Shrivastava, Prabhat Kumar, B B Gupta, Suman Bala, Nilanjan Dey. Handbook of Research on Network Forensics and Analysis Techniques.]]
-[2] [[http://www.google.com/books?id=duWx8fxkkk0C&printsec=frontcover#v=onepage&q&f=false|Mayer, Richard E. The Cambridge handbook of multimedia learning. Cambridge University Press, 2005.]]
+[2] [[https://www.researchgate.net/profile/Yang-Xiao/publication/281573989_Network_forensics_analysis_using_Wireshark/links/58a3ec9fa6fdcc05f16698dc/Network-forensics-analysis-using-Wireshark.pdf|Vivens Ndatinya, Zhifeng Xiao. Network forensics analysis using Wireshark. ]]
-[3] [[http://www.cogtech.usc.edu/publications/kirschner_Sweller_Clark.pdf|Kirschner, P. A, Sweller, J. and Clark, R. E. Why minimal guidance during instruction does not work: An analysis of the failure of constructivist, discovery, problem-based, experiential, and inquiry-based teaching. Educational psychologist 41, no. 2, pp 75-86, 2006]]

racfor_wiki/analiza_wireshark_alata_u_svrhu_racunalne_forenzike.1610906832.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)