Taggat med: Networkminer

Ny stabil uppdatering av Wireshark

Den omåttligt populära mjukvaran Wireshark som används för att läsa av nätverkstrafik finns nu ute i en ny stabil version: 2.0.5. Detta är den femte uppdatering till 2.0-serien som kom ut för snart ett år sedan (läs mitt test här).

Denna version åtgärdar 9 stycken säkerhetsbrister som identifierats samt 22 andra buggrättningar.

Behöver Er organisation hjälp med av analysera nätverkstrafik? Kontakta Triop AB >

Säkerhetsbristerna återfinnes i hanteringen av följande protokoll: CORBA IDL, PacketBB, WSP, RLC, LDSS, OpenFlow, MMSE, WAP samt WBXML.

Och i följande protokoll har avkodningen uppdaterats: 802.11 Radiotap, BGP, CAN, CANopen, H.248 Q.1950, IPv4, IPv6, LANforge, LDSS, MPTCP, OSPF, PacketBB, PRP, RLC, RMT-FEC, RSVP, RTP MIDI, T.30, TDS, USB, WAP, WBXML, WiMax RNG-RSP, och WSP.

Wireshark är gratis och finns till operativsystem såsom Linux, Windows och Mac OS X. Och ett bra alternativ till Wireshark är Network Miner. Och gillar du inte grafiska gränssnitt så följer även tshark med som går att köra direkt från terminalen.

Du kan läsa samtliga release-notes här för version 2.0.5 och du kan som vanligt ladda hem Wireshark från wireshark.org.

Test av NetworkMiner 2.0

NetworkMiner 2.0NetworkMiner är precis som det låter en produkt för att undersöka nätverkstrafik. Mjukvaran är utvecklad av det svenska företaget Netresec och har funnits sedan 2007.

Denna nya version har följande funktioner:

  • SMB/CIFS stödjer nu att extrahera filer från SMB-skrivningar
  • Stöd för SMB2-protkollet
  • Yttarligare IEC-104 kommandon implementerade
  • Modbus/TCP hantering
  • Förbättrat stöd i SMTP, DNS och FTP
  • GUI förbättrat vid inläsning av PCAP-filer eller live-läsningar
  • Favicon-bilder extraheras nu ur nätverkstrafik
  • Stöd för att söka med nyckelord under flertalet tabbar

Under testet så laddade jag in en PCAP-fil från 4SICS-konferensen. Filen var på 134 MB och tog cirka 15 minuter att ladda in.

NetworkMiner ser ut att läsa ut filer, sessioner och all annan information som kan vara relevant för en nätverkforensisk undersökning. Mjukvaran finns även i en betalversion som kostar cirka 7600 SEK och inkluderar då geoip, csv export, os fingerprinting och ett kommandogränssnitt.

Vad är då största skillnaden mellan NetworkMiner och Wireshark? NetworkMiner klarar att extrahera ur filer ur en större mängd nätverksprotokoll även om Wireshark stödjer att tolka fler protokoll.

Här kan du ladda hem gratisversionen av NetworkMiner:

Skärmdumpar:

NetworkMiner NetworkMiner

NetworkMiner ute i version 1.6

NetworkMinerSvenskutvecklade NetworkMiner som är ett utmärkt verktyg vid nätverksforensik och analys av skadlig kod finns nu ute i en ny version.

NetworkMiner finns även som betalversion som då kommer med ett antal intressanta funktioner såsom automatisk protokollidentifiering: Port Independent Protocol Identification (PIPI) samt en kommandoradsklient (CLI).

Nytt i denna version är bl.a. PCAP över IP som gör att du kan starta tcpdump på en annan klient och sedan skicka sniffad data över nätverket till NetworkMiner för vidare analys som kör avkodning och utkarvning av filer från nätverkspaket.

Även så fungerar ”drag och släpp” direkt från NetworkMiner till ditt favoritprogram.

Pcap-over-IP

Fungerar även att skicka över SSL med följande kommando från Linux:

$ tcpdump -i eth0 -s 0 -U -w - | openssl s_client -connect 1.2.3.4:57012

Här kan mer information hittas: