Presentazione per il corso di Reti di Calcolatori all'Università Ca' Foscari di Venezia, anno accademico 2012-2013. Il link nell'ultima slide è stato disattivato, quello corretto per la relazione in PDF è: https://www.dropbox.com/s/w78uwpsm7xm1yr1/RelazioneNetworkForensics.pdf

1. Network Forensics
Andrea Lazzarotto — 833897
http://lazza.me/NetworkForensics

2. Contenuti
In cosa consiste?
Hardware & software
Case study

3. In cosa consiste?

4. Inizia tutto notitia criminis
Network Forensics
≠
Network Security

5. Procedura standard

6. Possibili problemi
Tecnici Legali

7. Hardware & software

8. Hardware
Questo non è un router

9. Configurazione di una sonda
ifconfig eth0 -arp up
ifconfig eth1 -arp up Attivazione interfacce
brctrl addbr br0
brctrl addif br0 eth0 Creazione bridge
brctrl addif br0 eth1
brctrl stp br0 off
ifconfig br0 -arp up Attivazione bridge

10. Software
TCPDump
Wireshark
Xplico

11. Case study

12. Banca americana
IP permit ANY ANY

13. Stessa root directory
12:13:53 xxx.xxx.xxx.xxx [996]sent /DirWalkR.asp 550
12:13:55 xxx.xxx.xxx.xxx [996]created DirWalkR.asp 226
12:14:40 xxx.xxx.xxx.xxx [996]sent /ncx99.exe 550
12:14:45 xxx.xxx.xxx.xxx [996]created ncx99.exe 226
12:14:45 xxx.xxx.xxx.xxx [996]sent /vala.asp 550
12:14:47 xxx.xxx.xxx.xxx [996]created vala.asp 226

14. Esecuzione della shell
12:13:37 xxx.xxx.xxx.xxx GET /space.asp 200
12:13:59 xxx.xxx.xxx.xxx GET /dirwalkR.asp 200
12:14:08 xxx.xxx.xxx.xxx GET /dirwalkR.asp 200
12:14:20 xxx.xxx.xxx.xxx GET /dirwalkR.asp 200
12:14:23 xxx.xxx.xxx.xxx GET /dirwalkR.asp 200
12:14:27 xxx.xxx.xxx.xxx GET /dirwalkR.asp 200
12:15:02 xxx.xxx.xxx.xxx GET /vala.asp 200

15. ?
http://lazza.me/NetworkForensics