Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

Publicado el 10 noviembre, 2011 por Alfon
Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. También la forma de hacerlo con Tcpxtract, Justniffer, con Xplico, etc. Mencionar también el artículo de Sergio Hernando «5 métodos para la extracción forense de ficheros en capturas de tráfico de red»  con otras aplicaciones/métodos.
En esta ocasión vamos a ver la herramienta assniffer, un sniffer HTTP para sistemas Windows, que tomando como fuente una interface de red o un fichero de captura tráfico de red en formato .pcap, vuelca toda la información por carpetas según los dominios visitados. Lo vemos.

Instalación de assniffer.

Es muy sencilla la instalación. Solo tenemos que descargar un archivo comprimido desde http://www.cockos.com/assniffer/assniffer02.zip, descomprimir y usar.

Uso básico de assniffer.

Creamos una carpeta para el volcado de los datos extraidos. Una vez realizado esto, ya podemos usar assniffer:

assniffer c:\as\volcado -r c:\pcap\fichero_captura.pcap

Indicamos primero el lugar a volcar los datos, fuente de los datos (-r para fichero .pcap o -d para interface de red).

De esta forma extrae todos los ficheros binarios, imagenes, video, css, js, archivos comprimidos, etc que estén involucrados en la captura. Se volcará nen la carpeta que indiquemos bajo una estructura ordenada para mejor identificación del contenido:

Por defecto crea carpetas según dominios, pero también podemos indicar que lo haga por IP (-splitbyclient).

También la ejecución por defecto extraerá todos los tipos MIME, pero podemos indicar que tipo quetremos con -mimetype que puede ser image, text, application, video, etc.

Por ejemplo:

assniffer c:\as\volcado -r c:\pcap50608.cap -splitbyclient -mimetype image

Como he dicho, crea una estructura de carpetas, pero las podemos obviar con -nosubdirs

assniffer c:\as\volcado -r c:\pcap\captura.pcap -splitbyclient -nosubdirs

El resultado:

———-

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Herramientas, Interpretación capturas tráfico red. pcap, Interpretación capturas tráfico red. pcap, Seguridad y redes. Guarda el enlace permanente.

4 respuestas a Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red.

  1. maty dijo:
    10 noviembre, 2011 en 9:51 am

    Ozú, cuando he visto el favicon de Nauscopio… casi he tenido que ir al baño 😛

    Alfon, volvemos a estar como en mayo del 2010, así que ya sabes lo que te aconsejo nuevamente.

    Responder
    • Alfon dijo:
      10 noviembre, 2011 en 10:33 am

      Jajajaja, si Maty. Es que era fichero de captura algo antiguo.
      Sigo tus consejos Maty. Aunque no se si por desgracia o, creo esta vez por suerte, estoy más tienso como una mojama.
      Saluditos,

      Responder

  2. Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes

  3. Pingback: Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload. | Seguridad y Redes

Deja un comentario