Introduzione e installazione di Netsniff
UN annusare è uno strumento che serve per catturare pacchetti di traffico da una rete e analizzare i pacchetti in tempo reale mentre si verifica l'utilizzo di una o più reti, li decodifica secondo le specifiche del protocollo che può essere TCP, ICMP o altro. Il software Netsniff-ng è un insieme di strumenti, è gratuito e funziona sotto Linux.
Le sue prestazioni sono molto elevate poiché opera dalla riga di comando, in modo che la ricezione e la trasmissione dei pacchetti avvenga direttamente nella memoria del computer o del server. Netsniff-ng è stato creato come sniffer di rete da incorporare nel kernel Linux per i pacchetti di rete.
Netsniff-ng, cattura tutto il traffico in tempo reale e genera file in formato pcap che possono poi essere analizzati con il software Wireshark. Lo strumento netsniff-ng è disponibile per tutte le distribuzioni di sistemi operativi come Linux Ubuntu, Debian, Fedora e le loro derivate. Lo possiamo trovare anche in distribuzioni specifiche per compiti forensi.
Assumeremo una distribuzione Ubutnu da testare in questo tutorial e vedremo due modi di installazione, uno dai repository:
sudo apt-get install netsniff-ng
L'altro modo di installazione è scaricare l'applicazione dal sito ufficiale http://pub.netsniff-…rg/netsniff-ng/ e decomprimere e quindi accedere alla cartella ed eseguire i seguenti comandi:
sh ./configure make sudo make installSuccessivamente, vedremo come catturare il traffico, per questo dobbiamo assegnare l'interfaccia di rete che vogliamo analizzare, ad esempio eth0 per una connessione via cavo wlan0 per wifi, quindi utilizzeremo i seguenti comandi:
sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap
Noi usiamo --out per salvare tutte le acquisizioni in un file pcap che possiamo poi aprire con Wireshark. Andiamo al menu File> Apri e importiamo il file pcap che abbiamo generato.
Quindi possiamo iniziare ad analizzare, ad esempio cercheremo il traffico generato alla pagina Solvetic.
Possiamo vedere che dall'interfaccia di rete eth0 stava navigando tramite http, nella pagina dei tutorial di Solvetic, si può anche vedere che è stato fatto da Chrome e qual è l'IP da cui è stato sfogliato.
Lo strumento permette la cattura di pacchetti da un dispositivo connesso ad una rete e creare file con tutti i PCAP, questo file con acquisizioni può essere utilizzato anche per catturare un solo protocollo che ci interessa, ad esempio TCP, cioè catturiamo solo il traffico che entra attraverso l'interfaccia eth0 e lo invia a un file.
netsniff-ng -in eth0 -out traps-tcp-eth0.pcap -s tcp
Possiamo vedere che in questo caso catturiamo tutti i pacchetti che utilizzano i protocolli TCP e HTTP che vengono trasferiti attraverso l'interfaccia di rete eth0. Utilizzando il parametro, indichiamo che il traffico catturato verrà salvato nel file pcap, potremmo anche indicare un'altra interfaccia di rete per reindirizzare il traffico da una rete all'altra.
PrecedentePagina 1 di 3Prossimo