Извлечение доказательств веб-трафика

Введение

В этом задании вы выступите в роли стажера по кибербезопасности в NetDefenders, расследующего потенциальную утечку данных. Ваш инструктор предоставил файл захвата сетевого трафика, и ваша задача - извлечь доказательства связи между сотрудником и labex.io для вашего отчета об обучении криминалистике (forensic training report).

Используя Wireshark, вы проанализируете захваченный сетевой трафик, отфильтровав TCP-пакеты, содержащие "labex", проследив за TCP-потоком (TCP stream), чтобы изучить весь разговор, и сохранив доказательства в виде текстового файла. Это практическое упражнение демонстрирует основные методы сетевой криминалистики (network forensics), используемые специалистами по безопасности для выявления и документирования подозрительных веб-коммуникаций.

Skills Graph

Раскройте скрытые веб-переговоры

В качестве стажера по кибербезопасности в NetDefenders вы расследуете потенциальную утечку данных. Ваш инструктор захватил сетевой трафик от сотрудника, обращающегося к labex.io, и поручил вам извлечь детали коммуникации в качестве доказательства для вашего отчета об обучении криминалистике (forensic training report).

Задачи

• Отфильтруйте захваченный трафик Wireshark, чтобы отображать только TCP-пакеты, содержащие labex.
• Проследите за TCP-потоком (TCP stream) из отфильтрованных пакетов и сохраните его как tcp_evidence.txt в папке проекта.

Требования

1. Откройте файл захвата network_evidence.pcapng в Wireshark, который находится в вашем каталоге /home/labex/project.
2. Используйте фильтр отображения (display filter), чтобы отображать только TCP-пакеты, которые содержат "labex" в своем содержимом.
3. Выберите один из отфильтрованных пакетов, затем используйте функцию Wireshark "Follow TCP Stream" (Проследить за TCP-потоком), чтобы просмотреть весь разговор.
4. Сохраните содержимое TCP-потока в файл с именем tcp_evidence.txt в каталоге /home/labex/project.
5. Сохраненный файл должен содержать полные данные TCP-потока между вашей системой и labex.io.

Примеры

При применении правильного фильтра ваш дисплей Wireshark может выглядеть примерно так:

После отслеживания TCP-потока вы увидите окно, показывающее данные разговора. Сохраненный файл будет содержать эти данные, которые могут включать информацию о TLS handshake (TLS-рукопожатии) и зашифрованный HTTPS-трафик.

Подсказки

• Чтобы отфильтровать TCP-пакеты, содержащие определенный текст, используйте формат: tcp contains "text"
• Щелкните правой кнопкой мыши на пакете и выберите "Follow" > "TCP Stream", чтобы просмотреть весь разговор.
• В окне "Follow TCP Stream" нажмите кнопку "Save As" (Сохранить как), чтобы сохранить данные потока.
• Убедитесь, что вы сохраняете файл с точно требуемым именем в указанном каталоге.
• Диалоговое окно сохранения может по умолчанию указывать другое местоположение, поэтому перейдите в /home/labex/project перед сохранением.

Итог

В этом задании я выполнял задачи сетевой криминалистики (network forensics) с использованием Wireshark для извлечения доказательств веб-трафика из захваченного файла пакетов. Расследование было сосредоточено на изучении связи между системой и labex.io для документирования потенциальной утечки данных, что потребовало применения определенных фильтров отображения (display filters) для изоляции соответствующих TCP-пакетов, содержащих "labex" в своем содержимом.

Процесс включал открытие файла захвата сети, фильтрацию трафика, отслеживание TCP-потоков (TCP streams) для просмотра полной коммуникации и сохранение доказательств в виде текстового файла. Эти методы представляют собой важные навыки для специалистов по кибербезопасности, проводящих расследования сетевой криминалистики и подготавливающих доказательства для отчетов об инцидентах безопасности.