Interceptando arquivos na rede via tcpdump.
Em ambientes controlados, há necessidade de saber bit por bit do que sai e entra na rede da instituição, há muitas ferramentas destinadas a esse fim, particularmente os proxyes, porém, se a necessidade é realizar uma auditoria básica em somente um host, dá para usar a abordagem a seguir:
Passo 1: Interceptar todo o trafego do host em questão.
tcpdump -i eth1 -s0 -w /analise/olarva_dump host notebook-olarva
No exemplo em questão, estou salvando todo o stream da maquina notebook-olarva, e salvando no arquivo: olarva_dump.
Então esperamos o arquivo dar uma crescida…
Passo 2: Organizar os pacotes, em ordem usando o tcpflow
mkdir flow_olarva
cd flow_olarva
tcpflow -r /analise/olarva_dump
Passo 3: Extrair os arquivos com foremost.
foremost *
O comando foremost cria a pasta output, com todos os arquivos que estiverem sido capturados com sucesso.
Done.
Tags: Segurança