Hace algún tiempo tuve la necesidad de probar que unas configuraciones de los IDS Suricata y Snort funcionaban correctamente, generando las alarmas y las capturas de los paquetes de manera adecuada. Una solución sencilla es aprovechar las opciones que tiene tanto Suricata como Snort para leer capturas y analizarlas. En ambos casos, la opción para especificar el fichero es -r y no es necesario ejecutarlo como root, ya que no se abren interfaces para capturas.
snort -r file.pcap -c snort.conf
A continuación está alguno de los blogs que busqué para obtener capturas de tráfico. Muchas de ellas están en ficheros zip protegidos por contraseña, para poder bajarlos sin que los bloqueen antivirus o proxies.
- El blog Contagio (malware dump) tiene multitud de enlaces a malware y capturas de tráfico. Estuve mirando la colección de unas mil capturas que tienen.
- Capturas de Malware Traffic Analysis, un sitio especializado en capturas de tráfico de diferentes muestras de malware. Además, hay varios tutoriales para aprender a analizar estos bichos.
- El National CyberWatch Mid-Atlantic Collegiate Cyber Defense Competition (MACCDC) es un concurso centrado en aspecto de protección de redes. Durante el mismo se graba el tráfico gvenerado y las capturas están disponibles para quien quiera usarlas.
- Un clásico son las capturas del CTF de la Defcon
- Nettresec tiene una sección en la web con multitud de enlaces a pcaps públicos que pueden usarse.
- No estrictamente capturas de tráfico, pero si malware diseñado para aprender a analizarlo, del blog Running the Gauntlet, escritos por Andrew Honig y Mike Sikorski
Advertencia
Estos enlaces llevan a capturas de tráfico en formato pcap de malware. Un error en el manejo de los mismos puede dar lugar a la infección de los ordenadores en los que se está trabajando. Cuidado al manjar estas capturas.
No hay comentarios:
Publicar un comentario