2014-12 Archives
08-12-2014 16:43:42
[Tool] ForensicPCAP, un outil d'analyse de PCAP en python
Un petit sujet concernant un script python que j'ai mis en ligne pour se faciliter la vie lors de besoins d'analyse rapide d'un PCAP.
Il utilise la librairie Cmd2 de python donc cela s'utilise sous forme de shell et permet de lancer des commandes shell ou d'écrire
directement dans des fichiers via > .
ForensicPCAP est disponible sur Github. Je vais l'améliorer pour ajouter des dumps automatiques d'images ou autres petites idées. Si vous avez un besoin particulier n'hésitez pas à m'en parler, je suis ouvert à toute proposition d'évolution.
Exemple :
ForensicPCAP est disponible sur Github. Je vais l'améliorer pour ajouter des dumps automatiques d'images ou autres petites idées. Si vous avez un besoin particulier n'hésitez pas à m'en parler, je suis ouvert à toute proposition d'évolution.
Exemple :
user@puf:~$ ./forensicPCAP.py exemple.pcap ## Loading PCAP /home/user/exemple.pcap ... OK. ForPCAP >>> dns ## Listing all DNS requests ...OK. ## Result : 34 DNS request(s) ForPCAP >>> show 1 | blog.madpowah.org ForPCAP >>> mail ## Searching mail's request ... OK. ## Result : Mail's request : 0 ## Saving mails ... OK ForPCAP >>> web ## Searching web's request ... .................OK. Web's request : 17 ForPCAP >>> show GET / HTTP/1.1 Cache-Control: max-age = 4624 Connection: Keep-Alive Accept: */* If-Modified-Since: Sat, 22 Nov 2014 07:49:38 GMT ForPCAP >>> followtcpstream 50 ## Searching TCP Stream in PCAP ... OK ForPCAP >>> show 44 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http S 46 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 SA 47 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http A 50 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http PA / Raw 51 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 A 56 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 PA / Raw 62 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http PA / Raw 63 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 A 84 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 PA / Raw 94 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http A 159 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http PA / Raw 160 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 A 170 | Ether / IP / TCP 10.0.2.100:http > 10.0.2.15:49163 PA / Raw 174 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http A 195 | Ether / IP / TCP 10.0.2.15:49163 > 10.0.2.100:http RA ForPCAP >>> show raw GET / HTTP/1.1 Accept: */* If-Modified-Since: Mon, 24 Nov 2014 18:08:00 GMT If-None-Match: 1416852480000 A-IM: feed Accept-Language: en-US Accept-Encoding: gzip, deflateHave fun !