Dshell, está escrito enteramente en Python, toda la base de código se puede personalizar para problemas particulares rápidamente y fácilmente. Al ser una herramienta muy flexible es posible ajustar un decodificador existente para extraer información ligeramente diferente de los protocolos existentes, y la de escribir un nuevo analizador para un protocolo completamente nuevo.
Tiene como finalidad realizar marcos de análisis forense extensible que permite a los usuarios desarrollar rápidamente plugins para capturas de paquetes de la red a analizar. Dicha herramienta fue desarrollado por el Laboratorio de Investigación del Ejército de Estados Unidos. Dshell se encarga de volver a montar corriente de IPv4 e IPv6 tráfico de red y también incluye la geolocalización y los datos de mapeo de IP a ASN para cada conexión. También permite el desarrollo de la red de análisis de los plug-ins que se han diseñado para ayudar en la comprensión de tráfico de la red y presentar los resultados al usuario de una manera concisa y útil al permitir a los usuarios para analizar y presentar los datos de interés de varios niveles de la red apilar.DSHELL ha reducido el tiempo necesario para identificar y responder a los desafíos de la red forenses.
Descargar Dshell : https://github.com/USArmyResearchLab/Dshell
Instalación :
En esta ocasión voy a ejecutar Dshell en Ubuntu 14.04, para hacer breve la descarga y la ejecución es necesario digitar las siguiente líneas en la consola.
jalil@ubuntu:~/jalil$ sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap python-pip unzip build-essential
jalil@ubuntu:~/jalil$ sudo pip install pygeoip
jalil@ubuntu:~/jalil$ wget https://github.com/USArmyResearchLab/Dshell/archive/master.zip
jalil@ubuntu:~/jalil$ unzip master.zip
jalil@ubuntu:~/jalil$ cd Dshell-master
jalil@ubuntu:~/jalil/Dshell-master$ make
Para realizar las pruebas es necesario disponer de un archivo pcap. Por ellos vamos a descargar un archivo públicos de Netresec:
jalil@ubuntu:~/jalil/Dshell-master$ wget http://download.netresec.com/pcap/maccdc-2012/maccdc2012_00016.pcap.gz
jalil@ubuntu:~/jalil/Dshell-master$ gzip -d maccdc2012_00016.pcap.gz
jalil@ubuntu:~/jalil/Dshell-master$ ./dshell
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d
Tras la ejecución del comando vamos a poder visualizar las opciones que nos brinda Dshell. Ahora vamos a seleccionar un comando que nos brindara la lista de los decoders.
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -l
Para la siguiente prueba vamos a utilizar el modulo netflow el cual nos organizara la captura d ela red de tal forma que podemos identificar fácilmente los eventos relevantes.
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d maccdc2012_00016.pcap
En el siguiente imagen mostraremos búsquedas de DNS en el tráfico de la muestra descargada previamente.
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d dns maccdc2012_00016.pcap
En la siguiente imagen también podemos observar mas búsquedas DNS cuya información es de gran valor al momento que de los análisis forenses.
Otro módulo que nos puede arrojar información interesante es followstream . Como ya sabemos, el archivo pcap contiene los paquetes de las diferentes conexiones de red que fueron ocurriendo en un determinado sistema, pero utilizando este módulo es posible reconstruir las diferentes conexiones, en orden de ocurrencia, y de esta forma identificar lo que ocurrió en cada una de ellas.
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d followstream maccdc2012_00016.pcap
Por ejemplo, en la siguiente imagen podemos observar que un atacante ha estado persistiendo tratando de explotar una vulnerabilidad LFI. Estos ataques suelen ser recurrentes como el mismo SQL Injection.
Bueno creo que hemos llegado al final del post, espero que la información brindada les sea de utilidad en un futuro próxima. También espero que puedan complementar la herramienta ya que dispone de una gran flexibilidad para añadir propios módulos de análisis. Sin mas que adicionar me despido y será hasta la próxima oportunidad.
Hola bro yo también soy de Perú,me gustaria contactarme con usted no se si tendra skype ??
ResponderEliminarsaludos
SSN FULLZ AVAILABLE
ResponderEliminarFresh & valid spammed USA SSN+Dob Leads with DL available in bulk.
>>1$ each SSN+DOB
>>3$ each with SSN+DOB+DL
>>5$ each for premium fullz (700+ credit score with replacement guarantee)
Prices are negotiable in bulk order
Serious buyer contact me no time wasters please
Bulk order will be preferable
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com
OTHER STUFF YOU CAN GET
SSN+DOB Fullz
CC's with CVV's (vbv & non-vbv)
USA Photo ID'S (Front & back)
All type of tutorials available
(Carding, spamming, hacking, scam page, Cash outs, dumps cash outs)
SQL Injector
Premium Accounts (Netflix, Pornhub, etc)
Paypal Logins
Bitcoin Cracker
SMTP Linux Root
DUMPS with pins track 1 and 2
WU & Bank transfers
Socks, rdp's, vpn
Php mailer
Server I.P's
HQ Emails with passwords
All types of tools & tutorials.. & much more
Looking for long term business
For trust full vendor, feel free to contact
CONTACT
Telegram > @leadsupplier
ICQ > 752822040
Email > leads.sellers1212@gmail.com