12.04.2016

PCAPы для проведения собственных исследований, демонстраций и CTF

Тема проведения различных киберучений в последнее время набирает в России обороты и помимо CTF такие мероприятия в той или иной форме стали проводиться и в рамках различных конференций и семинаров. Одним из вариантов таких киберучений, помимо мозгового штурма или игрищ "А что если..." (и еще тут), является проведение лабораторных работ по анализу сетевого трафика, в рамках которой отрабатывается способность обнаруживать аномалии и несанкционированные действия в сетевом трафике, собранном и записанном с помощью, например, Wireshark. Да и при исследовании собранных доказательств такой анализ также является очень важным элементом процесса расследования инцидентов.

Но что нужно для лабораторной работы по анализу сетевого трафика? Не только инструментарий, но и сам сетевой трафик. Очевидно, что записать его не составляет большого труда, но где гарантия, что в нем есть соответствующие следы несанкционированной активности? Есть ли где-нибудь уже записанные фрагменты сетевого трафика с вредоносным кодом, которые можно было бы скачать и использовать в рамках CTF, лабораторок в ВУЗах или собственных исследований?

Да, ресурсы, содержащие записанные pcap-файлы, существуют и их немало. Например, на сайте Wireshark выложено большое количество семплов различных протоколов (около сотни), в том числе и с вредоносным содержанием. Но именно "вредоносных" семплов на Wireshark не так уж и много, в отличие от блога Contagio, где выложена целая коллекция семплов вредоносного кода в формате pcap для проведения анализа (там выложены и другие семплы - не только pcap).

Однако наибольшая из известных мне коллекций pcap находится на сайте Netresec, компании, специализирующейся на мониторинге и проведении расследований сетевых событий. Netresec собрал у себя ссылки на pcap с различных CTF (например, с DEFCON), киберучений (например, MACCDC), тренингов, челенджей и просто Интернет-ресурсов, эпизодически выкладывающих различные pcapы, которые можно скачать и использовать для своих нужд.

1 коммент.:

ser-storchak комментирует...

Рекомендую еще Traffic Analysis Exercise http://www.malware-traffic-analysis.net/2016/04/16/index.html. Да и сам сайт в целом очень полезный http://www.malware-traffic-analysis.net/index.html