NetworkMiner, Herramienta forense de Análisis de Red
Publicado Por: Luis Antonio en Articulos, Herramientas (Mayo 26, 2009 at 7:23 pm)
NetworkMiner es una herramienta forense de análisis de redes para Windows (posible emulación en GNU/Linux con Wine). El propósito de NetworkMiner es recolectar información (como evidencia forense) sobre los hosts de la red en vez de recoger información concerniente al tráfico de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el objetivo de detectar detalles específicos del host como sistemas operativo, hostname, sesiones, etc. sin generar ningún tráfico en la red.
Para la identificación del sistema operativo se basa en paquetes TCP SYN y SYN+ACK haciendo uso de la base de datos de p0f y Ettercap. También puede realizar fingerprinting del S.O por medio de paquetes DHCP (generalmente paquetes broadcast) apóyandose en la base de datos de Satori.
NetworkMiner posee también la capacidad de esnifar tráfico WiFi (IEEE 802.11) haciendo uso del adaptador AirPcap. De momento solo soporta el tráfico WiFi por medio de este driver.
Otras características:
- Permite importar archivos PCAP para análisis off-line y regenerar/reensamblar/reconstruir archivos transmitidos, estructuras de directorios, y certificados.
- Es útil para el análisis de tráfico de malware.
- Los usuarios y contraseñas (de los protocolos soportados) son extraidos por NetworkMiner y mostrados en la pestaña ‘Credentials’.
- Proporciona al usuario la posibilidad de hacer búsquedas en los datos esnifados.
Instalar NetworkMiner en GNU/Linux
Actualmente NetworkMiner sólo se encuentra disponible para plataformas Windows (desarollado en C#.NET), pero gracias a Wine también puede ser ejecutado en plataformas Linux. El tutorial está basado en Ubuntu, pero es igualmente funcional para otras distribuciones (simplemente reemplazar por el package-manager adecuado):
- Instalar Wine:
sudo apt-get install wine wine-dev cabextract - Configurar:
winecfg – En la ventana Aplicación cambiar la versión de windows a Windows 2000. - wget http://kegel.com/wine/winetricks
- Instalar Corefonts y .NET Framework 2.0
sh winetricks corefonts dotnet20 - Descargar NetworkMiner y extraerlo:
wget http://hivelocity.dl.sourceforge.net/sourceforge/networkminer/NetworkMiner-0.87.zip -O- | unzip - - Ejecutar:
wine NetworkMiner.exe
Y funcionando 
Rocio
Octubre 11th, 2009 at 6:47 pm
[...] Para Windows, la única herramienta que vale la pena, se llama NetWork Miner. Es una herramienta bastante interesante, ya que, además de la extracción de datos, es capaz de realizar tareas de fingerprinting sobre los paquetes de datos para averiguar, por ejemplo, el sistema operativo que envía o recibe paquetes. Su funcionamiento se basa en las bases de datos que utilizan diversas herramientas de auditoría, como por ejemplo, NMap. Un buen artículo sobre esta herramienta, lo tenemos en la Web SoyForense. [...]