admin / 26.11.2017

Дамп трафика – tshark примеры

Детальный анализ действий злоумышленника в системе ДБО можно осуществить на основе анализа архивных файлов дампа трафика (см. также раздел 5.1.8 «Подсистема журналирования»).

В штатном режиме работы, модуль фильтрации трафика формирует единый файл дампа трафика всех клиентов. В процессе еженочного переключения журналов событий, ранее созданный файл дампа переименовывается, а новое имя файла содержит информацию о времени переключения файла во временной зоне UTC.

В целях экономии места на архивном носителе, после переименования файл дампа сжимается архиватором rar (если установлен) либо tar (со сжатием bzip2), которые перед анализом необходимо распаковать во временную директорию.

Для удобства анализа действий злоумышленников, которые были в момент создания мошеннического документа, в FraudWall предусмотрена возможность создания на основе большого файла дампа нескольких небольших файлов, содержащих информацию только по заданному клиенту банка (либо по заданному компьютеру клиента банка).

Извлеченные файлы дампа трафика создаются с учетом времени аутентификации (как успешной, так и не успешной) по маске:

Примечание

Значение поля «ЛогинЮрЛица» указывается только в том случае, если в ДБО предусмотрен не только логин пользователя клиента, но и логин юридического лица (например, в этом случае для разных логинов юр.лиц CORP1 и CORP2 могут быть созданы пользователи с одинаковыми логинами director).

Дата и время, указанные в имени файла, являются временем аутентификации во временной зоне UTC.

Примечание

Файлы дампа, как правило, занимают на диске много места. Поэтому работу с ними лучше осуществлять в директории .

Предварительно убедитесь, что на соответствующем разделе достаточно места командой: df /var -H

Перед началом анализа данных необходимо определить, за какой период будут обрабатываться данные:

  • дамп за текущий день находится в директории

  • дамп за предыдущие периоды помещаются в архивные файлы (один файл архива содержит дампы всех сайтов за одни сутки) в директорию .

    Внимание

    При восстановлении архивов с дампами трафика необходимо учитывать, что время, указанное в имени архивного файла, является не началом времени формирования архива, а временем его завершения (во временной зоне UTC).

    Примечание

    Согласно разделу 5.1.9 «Регламентные процедуры», файлы из директории /var/log/archive должны переносится на внешний носитель (сетевой диск, DVD-диск и т.д.)

  • в кластерной установке (если один и тот же сайт системы ДБО обслуживается несколькими серверами FraudWall с модулем анализа трафика), дампы за текущий день и их архивы необходимо скопировать на один сервер.

Для разархивирования файлов с расширением , в SSH-консоли необходимо выполнить команду: tar -x -j -f ИмяФайла.tar.bz2 -C ДиректорияАнализа

Пример 1.

tar -x -j -f srv1-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv1

tar -x -j -f srv2-dump-20120903_180001.tar.bz2 -C /var/tmp/dump/srv2

Внимание

В кластерной установке распакованные файлы дампов разных серверов называются одинаково (например, ). Поэтому при распаковке архивов разных серверов необходимо указывать разные поддиректории (например, и ).

6.5.1. Подготовка файлов для обработки

Файл дампа содержит информацию по сессиям всех клиентов банка. Чтобы работать только с нужной информацией, необходимо выбрать критерии извлечения данных.

Критерии фильтрации указываются как опции в командной строке при вызове утилиты формирования файлов дампа.

Можно указать один или одновременно несколько фильтров:

Таблица 16. Критерии фильтрации сессий клиентов

Критерий фильтрации Опция
логин пользователя клиента -u ЛогинПользователяКлиента
логин юр. лица -g ЛогинЮрЛица
IP адрес компьютера клиента -i IP_адрес
CID (внутренний ID компьютера клиента) -c CID_компьютера

Внимание

Обратите внимание, что для некоторых систем ДБО логин пользователя и юр.лица могут быть регистрозависимы (например, это ДБО BSClient), поэтому их необходимо указывать в соответствующем регистре.

Если указано два и более критерия отбора, они работают по принципу «ИЛИ».

6.5.2.

Фильтрация сессий для извлечения из архива

В зависимости от системы ДБО, используются разные утилиты обработки файлов дампа:

Таблица 17. Утилиты анализа файлов дампов

Система ДБО Наименование утилиты
BS-Client fw_bsclient
iSimpleBank 2.0 fw_isimple
Finacle eBanking fw_finacle

При вызове утилиты анализа дампов необходимо указать следующие опции:

Таблица 18. Обязательные опции запуска утилиты анализа файлов дампов

Опция Назначение
-w Признак того, что необходимо записать файл дампа в соответствии с критериями
-s ДиректорияАнализа Директория, в которой находятся распакованные файлы (внутри нее могут находится поддиректории, например, от разных серверов системы FraudWall)
-d ДиректорияРезультата Директория, в которую будут записаны результирующие файлы
-l ЛогФайл (опционально) файл журнала событий обработки файлов дампа. Если опция не указывается, журнал событий будет выведен на экран

Внимание

Необходимо убедится, что директория, в которую будут сохранены обработанные данные, пуста, или вообще отсутствует.

Результатом работы утилиты будет набор файлов, содержащих дамп работы каждой из сессий клиентов с учетом заданных критериев фильтрации.

Примеры использования утилиты обработки файла дампа:

Пример 2. Создание файла с сессиями клиента с логином user01

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01

Пример 3. Создание файла с сессиями клиентов с логинами user01 или user02

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -u user02

Пример 4. Создание файла с сессиями клиента с логином user01 или с IP адреса 198.3.45.89

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -u user01 -i 198.3.45.89

Пример 5. Создание файла с сессиями всех клиентов, которые были с IP адреса 198.3.45.89

fw_bsclient -w -s /var/tmp/a -d /var/tmp/result -l result.log -i 198.3.45.89

Внимание

После обработки данных не забудьте удалить директорию с распакованными дампами трафика, т.к. они занимают много места и не нужны для работы системы FraudWall в штатном режиме.

6.5.3. Запуск утилиты формирования файлов дампов сессий клиентов

6.5. Анализ дампов трафика клиентов в ручном режиме

Авторские права © 2018 ООО «Фродекс»

(c) 2010 by packetlevel.ch / last update: 18.12.2010

When you’re debugging a tough problem you sometimes need to analyze the HTTP traffic flowing between your machine and a webserver or proxy. Sometimes you can use firebug or chrome inspector for that. But here’s a lowlevel alternative that I’m pretty excited about. Meet Tshark.

Because it’s low level, it will run nicely in a separate console.

Rencontres Du Film Court Antananarivo

And it will catch any request. That can be useful when you want to find out what 3rd party apps are communicating. In my case it was a Flash app that we assumed didn’t respect some redirect headers while downloading static files. Since it had it’s own HTTP implementation, firebug was unable to shed any light on the matter.

I knew tcpdump but was never really happy with it. And then I found TShark.

Install

On Ubuntu I typed:

But I found implementations for other systems as well.

Sniff HTTP Requests

Tshark can analyze any kind of network traffic, but in my case I was particularly helped by a command I found on stackoverflow:

Run that, and browsing to google will dump:

Nice and clean.

Go Crazy

The above was all I needed, but I soon found examples that demonstrate some other capabilites.

Count GIF Images Based on Content Type

The command below counts the number of GIF images downloaded through HTTP (from codealias):

Log All POP Users

The command below captures all port 110 traffic and filters out the ‘user’ command and saves it to a text file (from Mark’s notes):

One from superuser

Ok that’s it for now. If you have some juicy tshark commands yourself, just post a comment and I’ll update the article.

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*