2013-05-03

Log2pcap Extraer el Tráfico de un Log de Web

Tras leer una entrada de Joaquin Moreno en la pagina de Securty Art Work, la cual sigo y me parece excelente, presentaba una herramienta que me pareció excelente para las pruebas de sistemas de IDS y las detecciones en ataques a servidores Web.

Para hacer una prueba en un entorno controlado pero real use un servidor web donde tengo montado un OSSEC, la cual estaba mencionada por Joaquin, así que para hacerlo real lance desde otra IP pública un análisis con Nikto y con tcpdump capture el trafico durante el ataque para comparar, por lo que empezare mostrando los primeros paquetes capturados.


Bueno entonces lo primero es descargar el programa de log2Pcap.py, que lo encuentras aquí y lo puedes bajar por consola así

root@victima:~# wget https://forensics-log-2-pcap.googlecode.com/files/log2pcap.py

Y si tienen algún problema para ejecutarlo, deben instalar scapy, que es una librería de Python, la cual pa puedes instalar así

root@victima:~# apt-get install python-scapy

Bueno ya con todo listo solo falta probar que este script funcione. Entonces como les decía la prueba fue en un entorno totalmente controlado y aunque era con direccionamiento público todas las direcciones las administro y puedo controlar. 

Entonces lanzo el ataque con el comando así

root@atacante:~# nikto -host 190.253.75.173

Y extraje solo el fragmento de log generado durante este "ataque" para poder rescatar el tráfico con el script  y así mismo comparar con la captura realizada durante el procedimiento. Entonces una vez termine extraje solo esos registros y use el script así

root@localhost:~# ./log2pcap.py ataque_log creado.pcap apache 190.253.75.173 80

Los datos que se adicionan al comando son los siguientes

ataque_log >> Segmento del log donde estaban todos los registros generados por Apache durante el ataque

creado.pcap >> Archivo que se va  a crear tras el proceso de conversión de log a pcap.

apache >> Nombre del servidor web que genero los logs, en la ayuda del script puedes ver los servidores que son soportados, tales como IIS y nginx.

190.243.75.173 >> Dirección IP del servidor

80 >> Puerto donde esta configurado el servicio Web

Bueno tras unos pocos minutos se genera el archivo pcap que necesitamos, por lo que lo visualizo con wireshark como el inicial para ver y comparar los resultados.


Como pueden ver la recuperación es perfecta, dan los mismos paquetes que en la captura de trafico que se realizo durante el ataque.

Bueno no me queda más sino dar mi más sincera felicitación y admiración a Joaquin Moreno por el trabajo realizado en este programa y las gracias por ayudarnos a generar tráfico "falso" para el análisis y pruebas en detectores de intrusos u otras que se nos puedan ocurrir.