NFAT (Network Forensic Analysis Tool)

Iniciado por nomdeusuari, 13 Agosto 2011, 00:59 AM

0 Miembros y 1 Visitante están viendo este tema.

nomdeusuari

Tengo una duda en la que llevo dias intentando encontrar una solución.

Hay programas tipo wireshark y network miner que pueden abrir un archivo PCAP para extraer datos y, poder ver por dónde se ha estado navegando (dns, http, fotos, etc...)

Pero, puede un programa como el maltego abrir un pcap (mas que nada para mostrar de forma grafica los resultados, esos mismos que muestran wireshark y network miner)

Novlucker

En primera instancia te recomiendo lo siguiente :)
http://seguridadyredes.wordpress.com/2009/10/27/wireshark-estadisticas-y-geoip/

Y luego te sugiero revisar ese mismo blog porque tienes de todo para graficar capturas :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

nomdeusuari

Gracias, pero no me refería a mostrar el lugar de procedencia de la IP en un mapa.
Me refería a que se muestre tal como lo hace maltego cuando pides ya sean emails, dns... de una IP/web

Tal como puede verse
http://www.spylogic.net/wp-content/uploads/2010/06/maltego_client_twitter.jpg

Quizás me expresé mal, o quizá no se haya leído todo.

Novlucker

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

nomdeusuari

Eso quiere decir, que si, lo he hecho, y, me sale una grafica (muy bonita) que dice:

"AfterGlow 1.6.0 - Split Mode 2"

Y, eso también quiere decir, que, no, no  lees, porque pregunto: Puede maltego abrir PCAP? esta en la primera pregunta.

Porqué claro, no se te ha podido pasar por la cabeza que, en caso que se pudiera abrir con maltego, de las webs visitadas por una IP, yo, puedo buscar (hacer transformaciones del maltego) para encontrar whois dns, mails...

Entiendes ahora porqué preguntaba si Maltego puede abrir archivos PCAP?

Novlucker

Pues efectivamente no se me ha pasado por la cabeza, sobre todo porque has puesto esto ...

Cita de: nomdeusuari en 13 Agosto 2011, 00:59 AMPero, puede un programa como el maltego abrir un pcap (mas que nada para mostrar de forma grafica los resultados, esos mismos que muestran wireshark y network miner)

..hablas de un programa "como" Maltego, no especificamente Maltego, y que permita graficar capturas de modo de verlo más fácil, por lo cual te he sugerido lo anterior.

Por otra parte como aquí estamos para ayudar, pasaré por alto los 2 o 3 comentarios irónicos que has realizado antes, para darte una solución.


Maltego no soporta la carga de archivos pcap directamente, pero si la de archivos csv.
http://maltego.blogspot.com/2011/04/csvxlsx-import-in-maltego-304.html

AfterGlow trae algunos scripts para exportar archivos pcap a csv, al igual que puedes exportar a csv desde el propio Wireshark
http://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html

Creo que de ese modo solucionas lo que necesitas

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

nomdeusuari

Rapida solución: gracias.
Comentarios, ironia sería decir que eres un gran admin, un persona que sabe dar la respuesta correcta sin dar muchas vuelta y, no hacer perder el tiempo en volver a pedir ayuda. Esto es ironía.
Comentario 2: en el buscón, el de la rae, el adverbio de modo, puedes leer la segunda definición, al completo.

Novlucker

Será que no acostumbro dar todo masticado porque si yo puedo encontrar la respuesta supongo que alguien más podrá hacerlo ;)

Debo de estar lento porque el comentario 2 no lo he entendido.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

nomdeusuari

Será que hay personas que prefieren que les digan la respuesta directa o, que en su defecto les pregunten ¿te refeieres a GeoIP...? -por poner un ejemplo-, así, se evita alargar innecesariamente.

Sobre el comentario 2, no acostumbro a dar todo masticado, la gente puede pensar por sí sola.

Novlucker

Cita de: nomdeusuari en 14 Agosto 2011, 03:01 AM
Será que hay personas que prefieren que les digan la respuesta directa o, que en su defecto les pregunten ¿te refeieres a GeoIP...? -por poner un ejemplo-, así, se evita alargar innecesariamente.

En eso puedes tener razón, pero recuerda que estas en un foro donde cada uno intenta ayudar de la manera que puede, no es un foro de soporte y si es lo que buscas entonces tienes el oficial de Paterva.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein