مشروع Dshell المستخدم في network forensics

مشروع Dshell هو عباره عن مشروع مختص في تحليل ترايفك الشبكة والمستخدم في network forensics, المشروع من تطوير US Army Research Lab وتمت كتابته بلغة البايثون ويعتمد على بعض المكتبات مثل pypcap , PyCrypto, IPy  وغيرها. المشروع يعمل من خلال مجموعة من الـ decoders التي تم تطويرها من قبل مطوري المشروع , كل decoder يختص بالبحث عن نوع معين من المعلومات واستخراجها. قوة الاداة تكمن في فكرة اضافة الـ decoders وتطويرها كذلك تشغيل اكثر من decoder في نفس الوقت. يمكن استخدام المشروع لاستخراج المعلومات بشكل مباشرة في الشبكة او من ملف pcap. نتائج الاداة يمكن تصديرها الى ملفات xml , html , csv او json.

سوف اعطي لمحه عن بعض  الـ decoders التي يمكن استخدامها

  • country : يستخدم لعرض الاتصالات بحسب الدولة حيث يمكن تحديد المصدر والهدف وسوف يتم عرض الاتصالات الخاصة بالدولتين
  • grep : يستخدم للبحث عن pattern معين في مع بعض الخيارات المفيده اذا تم تطابق النص الملطلوب سوف يعرض السطر بالكامل مع معلومات الاتصال الذي وجده فيه الـ pattern
  • protocol : يستخدم لعرض اي اتصالات تحمل بروتوكول غير معروف, البروتوكولات المعروفة مثل tcp , udp , icmp وغيرها تم تحديدها في ال decoder ولكن اذا كان هناك بروتوكول غير تلك المعتاد عليها سوف يعرضها على الفور
  • bitcoin : يستخدم لمعرفة الاتصالات الخاصة بالـ bitcoin سواء كانت stream mining او bitcoin transactions وغيرها من المعلومات المفيده ليس فقط معلومات الاتصال
  • joomla-cve-2015-8562 : هذا مثال لـ Decoder يبحث في الاتصالات على استغلال لثغرة معروفة , في هذا الـ decoder يتم البحث عن اتصالات لاستغلال ثغرة الـ joomla-cve-2015-8562
  • snort : يستخدم لعرض الاتصالات وتصنيفها على حسب قواعد snort

هناك الكثير من الـ decoders لم اذكرها وانما اردت اعطائكم فكرة عن نوع الـ decoders الموجوده. يمكنك زيارة صفحة الـ github للمشروع من الرابط التالي والتي تحتوي على بعض الامثلة ايضا

https://github.com/USArmyResearchLab/Dshell

لا يوجد اسهل من عملية تنصيب هذا المشروع , بعد عملية التنصيب قم بتشغيل الامر decode -l لعرض كل الـ decoders الموجودة  اذا اردت معلومات اكثر عن decoder معين قم بتنفيذ الامر decode -d decoder_name وسوف يتم عرض المعلومات الكافية مع الخيارات الخاصة بالـ decoder. يمكن الاستفادة من المشروع من خلال برمجه سكربتات خاصة للبحث عن معلومات معينة في بيانات الشبكة.

المطلوب منك : ان تقوم بتنزيل الاداة وتستخدم امر decode -d  مع كل decoder واقرا عنهم كلهم واعرف ماهو الممكن عملة بالاضافة الى بعض الاوامر التي تساعد في تصدير النتائج .

لتجربة المشروع قد تحتاج الى امثلة لملفات pcap للتجربة عليها, يمكنك تنزيل هذه الامثلة من موقع wireshark

https://wiki.wireshark.org/SampleCaptures

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.