Network forensics çalışmalarının en önemli adımlarından biri ağ trafiği analizidir. Ağ trafiği analizi canlı trafik üzerinde anlık yapılabildiği gibi çoğu zaman canlı trafik üzerinde analiz yapmak mümkün olmamaktadır. Bu gibi durumlarda tcpdump, snoop, Snort gibi bir sniffer yazılımı kullanarak trafik kaydedilmişse libpcap uyumlu başka ağ trafiği analiz yazılımlarıyla kaydedilen trafik analiz edilebilir.
Piyasadaki açık kaynak kodlu ve ticari yazılımların çoğu kaydedilmiş trafik üzerinde analiz yapmaya imkan tanımaktadır.
Elimizde kaydedilmiş bir trafik dosyası var ve kaydedilen trafik içerisinde özel bilgi geçip geçmediğini(protokl bazında) bulmak istiyoruz.
Kaydedilmiş dosyayı dsniff ile okutarak içerisinde geçen özel bilgiler(kullanıcı adı, parola, cookie vs bilgileri) bulunabilir.
Dsniff hangi protokollere ait özel bilgileri çıkarabilir?
FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS,VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meeting Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL*Net, Sybase ve Microsoft SQL
#dsniff -n -p trafik_kayit_dosyasi.pcap
…
—————–
11/25/10 02:48:58 tcp 7.8.20.18.7664 -> 2.1.8.7.110 (pop3)
USER abc@123456.com.tr
PASS 123456
…
Trafik içerisinde geçen herhangi bir kelimeyi bulmak için ngrep kullanılabilir.
Trafik içerisinde geçmeyen bir kelimeye yönelik arama sonucu
# ngrep -q -i “parola” -I bga1.pcap
input: bga1.pcap
match: parola
Trafik içerisinde geçen bir kelimeye yönelik arama sonucu
# ngrep -q “bga” -I bga1.pcap
input: bga1.pcap
match: bga
T 91.93.119.87:34048 -> 178.18.197.18:80 [AP]
GET /deneme-bga HTTP/1.1..
İkili(Binary ) bir dosyanın ağ trafiğinde olup olmadığını araştırmak için Ngrep -X parametresi kullanılarak hexedecimal olarak verilebilir.
Alternatif olarak Xplico, Network Miner gibi görsel araçlar da kullanılabilir.