NetworkMiner, Herramienta forense de Análisis de Red

NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine).  El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como  sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.

networkminer

Para la identificación del sistema operativo se basa en paquetes TCP SYN y SYN+ACK haciendo uso de la base de datos de p0f y Ettercap. También puede realizar fingerprinting del S.O por medio de paquetes DHCP (generalmente paquetes broadcast) apóyandose en la base de datos de Satori.

NetworkMiner posee también la capacidad de esnifar tráfico WiFi (IEEE 802.11) haciendo uso del adaptador AirPcap. De momento solo soporta el tráfico WiFi por medio de este driver.

Índice

Otras características:

  • Permite importar archivos PCAP para análisis off-line y regenerar/reensamblar/reconstruir archivos transmitidos, estructuras de directorios, y certificados.
  • Es útil para el análisis de tráfico de malware.
  • Los usuarios y contraseñas (de los protocolos soportados) son extraidos por NetworkMiner y mostrados en la pestaña 'Credentials'.
  • Proporciona al usuario la posibilidad de hacer búsquedas en los datos esnifados.

Instalar NetworkMiner en GNU/Linux

Actualmente NetworkMiner sólo se encuentra disponible para plataformas Windows (desarollado en C#.NET), pero gracias a Wine también puede ser ejecutado en plataformas Linux. El tutorial está basado en Ubuntu, pero es igualmente funcional para otras distribuciones (simplemente reemplazar por el package-manager adecuado):

  • Instalar Wine:
    sudo apt-get install wine wine-dev cabextract
  • Configurar:
    winecfg - En la ventana Aplicación cambiar la versión de windows a Windows 2000.
  • wget http://kegel.com/wine/winetricks
  • Instalar Corefonts y .NET Framework 2.0
    sh winetricks corefonts dotnet20
  • Descargar NetworkMiner y extraerlo:
    wget http://hivelocity.dl.sourceforge.net/sourceforge/networkminer/NetworkMiner-0.87.zip -O- | unzip -
  • Ejecutar:
    wine NetworkMiner.exe

Y funcionando 🙂

Actualizado: Gracias a haxple me entero que en el capitulo de Hak5 numero 514 del pasado 20 de mayo, mas o menos en el minuto 11 se habló sobre esta herramienta, les dejo el capitulo entero en el que ademas hablan de Net Witness y enseñan como transmitir audio con netcat, entre otras cosas...

Enlaces:

Subir