REALE.COM.BR

by Alessandro Reale dos Reis

Informações relacionadas a Segurança da Informação, Perícia Forense, Linux e relacionadas a TI. Você encontra aqui!!!! Sejam Bem vindos......

« Coleta de Evidências Digitais (Parte I)
Teclas de Atalho do Bash Shell para Linux »

Coleta de Evidências Digitais (Parte II)

A memória principal contém diversas informações voláteis do sistema, como por exemplo, dados sobre os processos que estão em execução, dados que ainda estão sendo manipulados e não foram gravados no disco rígido essas informações tambem podem ser encontradas em:

• Diretório /proc
O diretório /proc é um pseudo-sistema de arquivos usado como uma interface para as estruturas de dados do kernel do sistema operacional, permitindo uma visão do ambiente de cada processo em execução, assim como o estado da memória.
A memória pode ser acessada pelo pseudo-arquivo /proc/kcore, que representa a memória física do sistema no formato de um core file. Novamente, com auxílio do strings ou um programa de depuração, como gdb, o investigador pode analisar o conteúdo desse arquivo.

Tráfego de rede

A partir do tráfego de rede é possível analisar toda a comunicação entre atacante e máquina invadida, estabelecendo uma seqüência de eventos e comparando com as outras evidências encontradas.
Programas utilizados para captura de tráfego de rede são conhecidos como sniffers.
Um dos programas desse gênero mais popular é o tcpdump, que pode ser usado para capturar qualquer tráfego de rede, decodicar e exibir os datagramas à medida em que são coletados.

# tcpdump -i eth0 host 192.168.0.1

Neste exemplo, o tcpdump é utilizado para capturar todo o tráfego de rede que passa pela interface eth0, provenientes do endereço IP 10.10.0.1 ou que o tenha como destino.
O parâmetro -w do tcpdump permite armazenar os datagramas capturados em um arquivo binário para posterior análise:

# tcpdump -w trafego.dump

Para capturar o tráfego da interface eth0 (-i) e não resolver o reverso dos endereços IP (-n); opção que ajuda bastante na velocidade da captura. Capturar até 1500 bytes dos pacotes (-s) ao invés dos 68 bytes capturados na opção padrão. Capturar somente 500 pacotes (-c) e gravar em um arquivo (-w) chamado trafego.cap, utilizamos o exemplo abaixo.

# tcpdump -i eth0 -n -s 1500 -c 500 -w trafego.cap

Mais detalhes sobre as opções e filtros dessa ferramenta pode ser obtido no link (http://www.tcpdump.org/)

Com auxílio de ferramentas como, por exemplo, ethereal, o investigador pode analisar este arquivo binário e exibir as informações dos datagramas capturados
em um formato legível permitindo até a reprodução da sessão capturada.

Com a análise dos datagramas pode-se encontrar evidências como:
• endereço IP inválido ou suspeito;
• tráfego em portas desconhecidas;
• tráfego em serviços ou portas que não deveria estar ocorrendo;
• datagramas com opções, flags ou tamanhos que não respeitam os padrões do protocolo (Request for Comment - RFC);
• flood de datagramas na rede;
• tráfego TCP em portas incomuns.

Escrito em Quarta, 21 de Novembro de 2007 às 14:07 , sob Perícia Forense.
RSS dos Comentários. Link desta publicação.  | Enviar por e-mail  | Hits para esta publicação: 601

Deixe uma resposta.

Buscar

Páginas

Categorias

Calendário

    Novembro 2007
    S T Q Q S S D
    « Abr   Jan »
     1234
    567891011
    12131415161718
    19202122232425
    2627282930  

Arquivos

REALE.COM.BR

RSS das Publicações e RSS dos Comentários .