Análisis de tráfico de red con Honeysnap

Hola,

Honeysnap es una herramienta desarrollada por Honeynet, y facilita el análisis de ficheros pcap mediante línea de mandatos, lo que puede resultar de especial utilidad a las tareas manuales de análisis forense, respuesta ante incidentes y en general, cualquier trabajo donde se haga necesaria la inspección manual del tráfico de red.

Su utilización es muy sencilla. Veamos cómo instalar la herramienta y hacer un análisis de ejemplo:

1. Descargamos los fuentes de https://projects.honeynet.org/honeysnap/. Descomprimimos y lanzamos el instalador

nas# python setup.py install

2. Lanzamos el binario para verificar el funcionamiento

nas# /usr/local/bin/honeysnap –version
honeysnap 1.0.6.14

En mi caso, antes de ejecutarse correctamente, Python me informó de un error de módulos, con lo que se hizo necesario instalar pypcap. Para ello bajamos los fuentes, y ejecutamos un make && make install. En caso de presentarse errores de dependencias os sugiero estéis atentos a los menajes del instalador.

3. Bajamos un fichero ejemplo pcap. Caalquiera de los publicados en Packetlife nos servirá. También es factible realizar una captura sobre nuestro propio tráfico.

4. Lanzamos el análisis, modificando previamente el fichero honeynet.cfg para que se ajuste a nuestra configuración. Para ello modificamos la sección HONEYPOTS (en mi caso, son la IP de mi portátil y la de mi servidor)

# HONEYPOTS is a space separated list of all the honeypots for the data
HONEYPOTS=192.168.213.250 192.168.213.254

nas# /usr/local/bin/honeysnap -f informe.txt -c honeynet.cfg micaptura.pcap

En esta secuencia, informe.txt es un fichero de texto que contendrá los resultados del análisis, y el operador -c indica qué fichero debe usarse para la configuración. El fichero micaptura.pcap lo he generado en mi propia máquina mediante Wireshark. Si abrimos ese informe veremos una cabecera informativa, así como un desglose de la actividad segregada por paquetes IP.

Analysing file: mitrafico.pcap

Pcap file information:
File name: mitrafico.pcap
Number of packets: 126
File size: 23940 bytes
Data size: 21900 bytes
Capture duration: 33.3697879314 seconds
Start time: Tue Jun 16 11:12:15 2009
End time: Tue Jun 16 11:12:49 2009
Data rate: 656.282264814 bytes/s
Data rate: 5250.25811851 bits/s
Average packet size: 173.80952381 bytes

Dentro de la secuencia podemos ver las trazas de actividad. Por ejemplo, durante la captura, me he autenticado en SSH, con lo que aparecen los paquetes correspondientes salientes y entrantes:

Outbound SSH packets:
src host 192.168.213.250 and dst port 22 24
src host 192.168.213.254 and dst port 22 0

Inbound SSH packets:
dst host 192.168.213.250 and dst port 22 0
dst host 192.168.213.254 and dst port 22 24

El informe contendrá además todas las fuentes usuales de tráfico, en caso que hayan registrado actividad. Muy útil si se busca el análisis manual rápido, e incluso para lanzar tareas cron regulares de análisis.

Un saludo,