ikeriri > network

Prev [P.12/43] Next [*No.111-120 of 423] First / Last

03/01: リアルタイム無線LANパケットキャプチャツール「TONIC」発表

カテゴリー: capturing

投稿者: ikeriri

米国にて開催されているWLPC(Wireless LAN Professional Conference)にてMetageek社のEyeP.A.の後継となる新しいリアルタイム無線LANパケットキャプチャツール「TONIC」が発表されました。

パケキャプだけでなく、Wi-SpyDBｘ連携や自動イベント検知、複数アダプタを用いることでクライアントのローミング追跡にも対応しています。

詳細は https://www.ikeriri.ne.jp/develop/tonic/

02/18: SHARK JACK CABLE登場

カテゴリー: infrastructure

投稿者: ikeriri

Hak5社新製品のSHARK JACK CABLEはLinuxを搭載して、
USB-C（USB UART）でAndroid（OTG）やPC、Macから
シリアル、SSH、Webでアクセス可能なペンテスト機器です。
Bash、DuckyScriptのほかautossh nmap nc wget python
arp-scan hping3 macchanger ngrep nping p0f tcpdump等
を利用できます。

https://www.ikeriri.ne.jp/security/penetrationtool.html

02/18: Hak5社OMG Plug登場

カテゴリー: infrastructure

投稿者: ikeriri

Hak5社より新製品出ました。O.MG PlugはWiFiを備えた
DuckyScript対応キーストローク挿入ツールです。
WiFi経由で動的にスクリプトを変更してペイロード挿入が可能です。
いわばWiFiリモート更新対応のUSB Rubber Duckみたいに活用できます。
https://www.ikeriri.ne.jp/security/penetrationtool.html

01/04: Create your own NSM devices with Suricata using Dualcomm’s ETAP-PI, network tap appliance

カテゴリー: capturing

投稿者: ikeriri

Create your own NSM devices with Suricata using Dualcomm’s ETAP-PI, network tap appliance

as well as Raspbery Pi with power redundant, graceful shutdown, user defined push buttons and leds.

Youtube movie here
https://youtube.com/watch?v=vo6yySnmvFE

Dualcomm社ETAP-PIで作成するSuricata NSMアプライアンス（日本語・Youtube）
Download PDF
https://www.ikeriri.ne.jp/develop/Dualcomm/Create%20your%20own%20NSM%20devices%20with%20Suricata%20using%20Dualcomm%E2%80%99s%20ETAP-PI,%20network%20tap%20appliance.pdf

Dualcomm’s ETAP-PI is a network tap appliance, there are two gigabit port for inline connection, and 1 monitor gigabit port that aggregate the traffic. Not only network tap, ETAP-PI has a raspberry Pi 4 inside the box. We can create our own NSM ( network security monitoring ), NIDS devices using Suricata, Snort and so on. This TAP appliance has dual redundant power supply and graceful shutdown button, as well as user-defined two LEDs and a push button for enterprise use.

I refer the useful websites below: https://jufajardini.wordpress.com/2021/02/15/suricata-on-your-raspberry-pi/ https://www.reddit.com/r/raspberry_pi/comments/np1a8f/building_my_home_intrusion_detection_system/

Step1: Install Suricata for Raspberry Pi4 Install required packages

apt-get install python-pip libnss3-dev liblz4-dev libnspr4-dev libcap-ng-dev git

Install packages for build Suricata

apt install libpcre3 libpcre3-dbg libpcre3-dev build-essential libpcap-dev libyaml-0-2 libyaml-dev pkg-config

zlib1g zlib1g-dev make libmagic-dev libjansson-dev rustc cargo python-yaml python3-yaml liblua5.1-dev Get Suricata source file

wget https://www.openinfosecfoundation.org/download/suricata-6.0.3.tar.gz Extract source file and change directory for source file

tar -xvf suricata-6.0.3.tar.gz

cd suricata-6.0.3

Execute configure script with some option

./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var --enable-nfqueue --enable-lua Compile and install Suricata

make

sudo make install Setup rules

cd suricata-update

sudo python setup.py build sudo python setup.py install

cd ..

sudo make install-full

Step2: Suricata Configuration Update Suricata rules

sudo suricata-update Edit configuration file

Nano /etc/suricata/suricata.yaml

Check #ring-size: 2048 section

And uncomment and change ring buffer size to 30000 ring-size: 30000

Step3: Execute Suricata and Test detection

Execute suricata in background ( -c config file -i interface -S rule file)

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 -S /var/lib/suricata/rules/suricata.rules & Check the latest log file

sudo tail -f /var/log/suricata/fast.log Access malware specific website

wget 3wzn5p2yiumh7akj.onio

and you can find alert event like that

ET MALWARE Cryptowall .onion Proxy Domain [**] [Classification: A Network Trojan was detected] [Priority: 1] ps aux | grep suricata to find process ID and kill the process after testing

Step4: Set Suricata as a service Edit service script

nano /etc/systemd/system/suricata.service Copy and Paste a sample

[Unit]

Description=Suricata Intrusion Detection Service

After=network.target syslog.target

[Service]

ExecStart=/usr/bin/suricata -c /etc/suricata/suricata.yaml -i eth0 -S /var/lib/suricata/rules/suricata.rules ExecReload=/bin/kill -HUP $MAINPID

ExecStop=/bin/kill $MAINPID

[Install]

WantedBy=multi-user.target

Start/Stop/Restart/Check Suricata as a service sudo service suricata [start/stop/restart/status]

Step5: Check log and Log rotate

Suricata creates log files at /var/log/suricata

eve.json : huge json file for analysing with Erastic Search and Kibana or Sprunk, etc. fast.log : suspicious event log ( it is useful to just check event )

stats.log : network statistics log

suricata.log : Suricata’s service log

Check the latest suspicious events

sudo tail -n 100 -f /var/log/suricata/fast.log

Suricata may create huge size of log file, so you may configure log rotate setting, so edit log rotate setting file nano /etc/logrotate.d/suricata

/var/log/suricata/*.log /var/log/suricata/*.json {

daily

maxsize 1G

rotate 30

missingok

nocompress

create

sharedscripts

postrotate

systemctl restart suricata.service endscript

}

It means each daily log file limit to 1GB and holds the latest 30 files (for a month) Change logrotate configuration

Sudo logrotate -f /etc/logratate.conf

Step6: Automatically update Suricata rules at midnight

Edit crontab to update and restart suricata at 3:33 am

33 3 * * * sudo suricata-update && sudo service suricata restart

It is a typical setting of maintain Suricata by Raspberry Pi but works best with ETAP-PI

Create and customize your own stable NSM device and be ready for cyber security.

I recommend to connect other packet capturing devices at external port of ETAP-PI.

We can check actual pcap/pcapng file with Wireshark, if you find some important security event!!

Megumi Takeshita, ikeriri network service co., ltd. (Twitter@ikeriri / megumi@ikeriri.ne.jp)
https://www.ikeriri.ne.jp/develop/Dualcomm/rapsberrypinetworkappliance.html

12/03: tcp.completeness in Wireshark3.6.0

カテゴリー: capturing

投稿者: ikeriri

Wireshark3.6.0 tcp.completeness field is a integer value to understand connection state.
the value consists of
1 : SYN
2 : SYN-ACK
4 : ACK
8 : DATA
16 : FIN
32 : RST
when you see the value in your trace file at the Client side, it may be
1: just a SYN(1) packet, the firewall blocked the connection on server side.
3: SYN(1)+SYN/ACK(2), half connection, server is stressful or DoS attaked.
7: SYN(1)+SYN/ACK(2)+ACK(4) just a ESTABLISHED TCP connection without data

so Incomplete, DATA(15) means SYN(1)+SYN/ACK(2),+ACK(4)+DATA(8), TCP connection has been established and start data stream and not finished yet.

11/18: 10がリリースされました">Wireshark3.4.10がリリースされました

カテゴリー: capturing

投稿者: ikeriri

Wireshark 3.4.10がリリースされました。
主な変更は将来へ向けIOグラフ設定修正、Bluetoothプロトコル他のセキュリティ対応、TCP、HTTP2他のダイセクタの修正、pcap形式の更新などです。
まもなく登場次期大型更新3.6はrc3となり、表示フィルタの動作がより分かりやすくなります
http://www.wireshark.org/download.html

11/10: using scikit-learn and keras to determine malware

カテゴリー: tips

投稿者: ikeriri

using scikit-learn to determine malware by Random forests (consists of 64 tree and input vector size is 20000 by hashed strings )

also use keras to create DL model ( input 1024 vector, 2 internal layer consists of 512 and 64 ReLU node and sigmoid output ) to check malware.

10/07: Wireshark3.4.9がリリースされました

カテゴリー: infrastructure

投稿者: ikeriri

Wireshark3.4.9リリースTsharkのPDML形式出力、表示フィルタ16進数操作、AMQP、IEEE802.15.4、IS-IS、BT-DHTダイセクタ、SMB抽出ファイル名文字化け、tshark統計、UTC絶対時フィールド、巨大ファイルクリック時のフリーズ、キャプチャ時のプロファイル変更等修正を含みます。http://www.wireshark.org/download.html

09/11: USBCtoC Lightning対応の新しいペネトレーションテストツール O.MG Keyloggerケーブルが登場

カテゴリー: consulting

投稿者: ikeriri

USBCtoC Lightning対応の新しいペネトレーションテストツール
O.MG Keyloggerケーブルが登場しました。
Keylogger版では65万ストロークのキーロギングに対応しています。
またUSB-Cスマートフォンおよびタブレットへのキー挿入が行えます。
Geofencing（MAC検出トリガ）などが追加されています。

従来のO.MG Cable同様に内臓WiFiによる遠隔操作自己破壊
大型ペイロード対応ブート時のペイロード挿入が行えます。

お問い合わせは弊社ペネトレーションテストツールへ
→ https://www.ikeriri.ne.jp/security/penetrationtool.html

08/27: Wireshark3.4.8がリリースされました

カテゴリー: capturing

投稿者: ikeriri

Wireshark3.4.8がリリースされました。
主な更新はBluetooth、Raknet、CoAPダイセクタのバグ修正、VCランタイム削除問題の訂正、
editcap -Tオプションを無線LAN関係で用いた際ファイルが保存される問題修正などです。
Bluetooth関連、SIM、GSMなどのプロトコル更新を含みます
ダウンロードは →Wireshark · Download をご覧ください。

Prev [P.12/43] Next [*No.111-120 of 423] First / Last

ikeriri|network [Twitter] [facebook]

03/01: リアルタイム無線LANパケットキャプチャツール「TONIC」発表

02/18: SHARK JACK CABLE登場

02/18: Hak5社OMG Plug登場

01/04: Create your own NSM devices with Suricata using Dualcomm’s ETAP-PI, network tap appliance

12/03: tcp.completeness in Wireshark3.6.0

11/18: 10がリリースされました">Wireshark3.4.10がリリースされました

11/10: using scikit-learn and keras to determine malware

10/07: Wireshark3.4.9がリリースされました

09/11: USBCtoC Lightning対応の新しいペネトレーションテストツール O.MG Keyloggerケーブルが登場

08/27: Wireshark3.4.8がリリースされました

Sidebar

ikeriri|network[Twitter] [facebook]

03/01: リアルタイム無線LANパケットキャプチャツール「TONIC」発表

02/18: SHARK JACK CABLE登場

02/18: Hak5社OMG Plug登場

01/04: Create your own NSM devices with Suricata using Dualcomm’s ETAP-PI, network tap appliance

12/03: tcp.completeness in Wireshark3.6.0

11/18: 10がリリースされました">Wireshark3.4.10がリリースされました

11/10: using scikit-learn and keras to determine malware

10/07: Wireshark3.4.9がリリースされました

09/11: USBCtoC Lightning対応の新しいペネトレーションテストツール O.MG Keyloggerケーブルが登場

08/27: Wireshark3.4.8がリリースされました

Sidebar

ikeriri|network [Twitter] [facebook]