Otro uso clave de tcpdump es reducir los datos en un archivo pcap existente, a través del uso de un filtro BPF. Esto permitirá mantener la fuente de datos original mientras se obtiene aquello lo cual es relevante, o eliminando aquello lo cual no es relevante.

Es importante conocer como se utiliza tcpdump para capturar paquetes desde una red. Tcpdump es una analizador de paquetes en linea de comandos, siendo libpcap una librería portable para la captura del tráfico de red. Imprimirá una descripción sobre el contenido de los paquetes sobre una interfaz de red. Lo mostrado será precedido por una marca de tiempo, impreso por defecto en horas minutos, segundos, y fracciones de segundos desde la media noche.

Se procede a ejecutar tcpdump.

$ sudo tcpdump -i enp0s17 -n -s -0

Debido al formato de archivo “pcap” tiene sus desventajas, la IETF ideó un formato sucesor de nombre “pcapng”, una denominación corta para “pcap next generation”. El formato es completamente diferente comparado con el formato legado, construido alrededor de una estructura ampliable y basada en etiquetas. Los principales beneficios promocionados incluyen:

Convertir marcas de tiempo una por una es totalmente factible, pero esto puede ser realizado más rápido utilizando el comando “awk”, permitiendo convertir todas las marcas de tiempo a la vez.

La función básica de awk es buscar archivos por lineas u otras unidades de texto, conteniendo ciertos patrones. Cuando una linea coincide con uno de los patrones, awk realiza las acciones especificadas sobre la linea. awk continúa procesando las líneas de entrada de esta manera hasta alcanzar el final de los archivos de entrada.

El formato del archivo log de Squid incluye marcas de tiempo en un formato no muy amigable de ser leído por los seres humanos; UNIX epoch. Esto contabiliza el tiempo transcurrido desde el 1ero de enero del año 1970 a las 00:00:00 UTC.

Al trabajar con la shell de comandos es factible manipular los archivos log de Squid para propósitos forenses. De esta manera se puede realizar la conversión desde UNIX epoch hacia un formato comprensible por los seres humanos, utilizando el comando “date”.

Un servidor proxy como su nombre implica, es un servidor el cual está configurado para romper el tráfico de red entre un sistema cliente y un sistema servidor. Aunque los proxys pueden ser utilizados casi con cualquier protocolo o servicio de red, actualmente casi siempre se les identifica asociándolos con tráfico web utilizando los protocolos HTTP y HTTPS.

El equipo para respuesta de incidentes está listo para entrar en acción, pero existen algunos retos para su eficacia. El vagos ímpetu para la investigación; como el hecho de se hayan sucitados cortes en algunos servidores, no es una pista muy específica a seguir por sí misma.

Quienes están familiarizados con el forense de computadoras, conocen aquellos artefactos dejados por incluso los sospechosos más cuidadosos. El borrar datos frecuentemente no borra verdaderamente nada, y limpiar evidencia deja también algo. Incluso las protecciones criptográficas pueden ser derrotadas si el sistema realizando la encriptación no es diligentemente limpiado, incluyendo RAM y archivos de paginación.

YOGA es un proyecto para ayudar a entender los diferentes cursos de acción a seguir en función de los datos obtenidos. ¿Se tiene un nombre de usuario?. Simplemente hacer clic en este y revisar todos los nodos adjuntos/conectados para conocer las posibles acciones.

YOGA es flexible y fortalecerá la investigación OSINT ayudando a visualizar conexiones y rutas para continuar una investigación.

Una vez recolectados “suficientes” datos (siendo “suficiente” una medida subjetiva), se deben transformar los datos en información, evaluándolos y analizándolos. Algunos puntos clave a utilizar en la revisión de los datos pueden incluir:

¿Es relevante? Algunas veces se recolecta contenido, el cual luego de su análisis, no resulta útil para la investigación general. Puede ser interesante pero puede no ser algo de importancia.