Artikel mit Tag netzwerkanalyse

OSINT - Analyse Tools fürs Netzwerk

Der Begriff OSINT (Open Source Intelligence) ist nicht erst seit 2022 ein allgemein bekannter Begriff, hat allerdings durch den Krieg in der Ukraine, Krisen und dem Durst nach Informationsgewinnung, viel Aufschwung erfahren. Das erste Mal wurde die Öffentlichkeit durch Bellingcat im Jahr 2012 darauf aufmerksam.

Der Begriff steht für die Informationsgewinnung aus öffentlichen Daten. Dabei helfen Tools, diese Daten zu analysieren, zu interpretieren und zu sortieren. Gerade im Netzwerkbereich finden sich hier spannende Programme.

Ich selbst nutze für persönliche Zwecke diverse öffentliche bzw. freie Tools, sei es zur Netzwerkanalyse, für verdächtige E-Mailheader oder zum DNS Check. Möglichkeiten gibt es sehr viele.

Dabei ist eine kleine Liste zusammen gekommen, welche ich euch gerne zur Verfügung stellen möchte.

Eine dauerhaft aktualisierte Liste findet ihr in Zukunft unter osint.itrig.de.

Browser User Agent & Bot Analyse (online)
  • https://whatmyuseragent.com
  • https://robotsdb.de/robots-verzeichnis
  • https://www.cimtools.net/en/extra/bots_list.php
Domain Certificates SSL Check (lokal)
  • https://github.com/drwetter/testssl.sh
Domain Certificates SSL Check (online)
  • https://ciphersuite.info
  • https://crt.sh
  • https://www.ssllabs.com/ssltest
  • https://observatory.mozilla.org
  • https://ciphersuite.info
Domain DNS Tools (lokal)
  • https://github.com/darkoperator/dnsrecon
Domain DNS Tools (online)
  • https://dnsdumpster.com
  • https://www.whatsmydns.net
  • https://toolbox.googleapps.com/apps/dig
  • https://viewdns.info
Domain URL Tools (online)
  • https://osint.sh
  • https://urlscan.io
  • https://www.brightcloud.com/tools/url-ip-lookup.php
  • https://unshorten.me
  • https://securitytrails.com
  • https://www.maxmind.com/en/locate-my-ip-address
Firmen Analyse (online)
  • https://www.bundesanzeiger.de
  • https://www.insolvenzbekanntmachungen.de
  • https://www.northdata.de
Git Search Tools (online)
  • https://grep.app
IP Search & Scan Tools (lokal)
  • https://github.com/robertdavidgraham/masscan
IP Search & Scan Tools (online)
  • https://www.shodan.io/explore
  • https://search.censys.io
  • https://fullhunt.io

Mail Analyse Tools (lokal)

  • https://github.com/ninoseki/eml_analyzer
  • https://github.com/cyberdefenders/email-header-analyzer
  • https://thatsthem.com/reverse-email-lookup
 
Mail Analyse Tools (online)
  • https://hunter.io
  • https://emailrep.io
  • https://eml-analyzer.herokuapp.com
  • https://www.spf-record.de
  • https://toolbox.googleapps.com/apps/messageheader
Malware & File Analyse (lokal)
  • https://github.com/mandiant/capa
  • https://github.com/horsicq/Detect-It-Easy
Malware & File Analyse (online)
  • https://labs.inquest.net
  • https://www.virustotal.com/gui/home/search
  • https://www.filescan.io/scan
Messenger Analyse (online)
  • https://telemetr.io (telegram)
Multitools (lokal)
  • https://github.com/pyhackertarget/hackertarget
  • https://github.com/laramies/theHarvester
Multitools Browser Add-ons
  • https://github.com/ninoseki/mitaka
  • https://addons.mozilla.org/de/firefox/addon/hacktools
Network BGP / ASN Tools (online)
  • https://bgp.he.net
  • https://www.peeringdb.com
  • https://bgp.tools
  • https://bgpstream.crosswork.cisco.com
Sammlungen - Collections
  • https://github.com/jivoi/awesome-osint
  • https://github.com/cipher387/osint_stuff_tool_collection
  • https://osintframework.com

Schwachstellen - CVE (online)

  • https://www.cvedetails.com
  • https://www.cve.org
  • https://www.opencve.io
Sonstiges
  • https://iknowwhereyourcatlives.com (Katzen)
  • https://intelx.io (Darkweb)
  • https://github.com/secdev/scapy (Traffic Tests)
  • https://locust.io (Traffic Tests)

Website Traffic

  • https://www.similarweb.com/de
Webtech Analyse (online)
  • https://www.wappalyzer.com
  • https://osint.sh/stack
  • https://website.informer.com
  • https://builtwith.com
  • https://www.whatruns.com

Wireshark 2.x und Nmap 7.x unter Ubuntu, Linux Mint oder Elementary OS installieren

Das Netzwerkanalyse Tool Wireshark hat eine großes Update erhalten und ist bei Version 2.x angelangt. Der Changelog ist dementsprechend riesig. Am offensichtlichsten ist die komplett überarbeitete Oberfläche, welche die Usability etwas verbessern dürfte.

wireshark

Wireshark 2 Installation unter Ubuntu, Mint und Elementary OS

Es stehen bereits Installationspakete für Windows und Co zur Verfügung. Für Debian Installationen bietet das offizielle Wireshark Repository allerdings noch eine alte Version an. Um die Wartezeit etwas zu verkürzen, kann die aktuellste Wireshark Version 2.x auch über andere PPAs installiert werden.

sudo add-apt-repository ppa:dreibh/ppa

oder alternativ

sudo add-apt-repository ppa:nicola-onorata/desktop

sudo apt-get update

sudo apt-get install wireshark

Prüfen der installierten Version  mit "wireshark --version".

Alternativ kann die Installation auch manuell vollzogen werden.

wget --no-check-certificate https://1.na.dl.wireshark.org/src/wireshark-2.0.0.tar.bz2

bzip2 -cd wireshark-2.0.0.tar.bz2 | tar xvf -

cd wireshark-2.0.0

./configure

sollte der Fehler "GTK+ 3 is not available" auftauchen, einfach das GTK anpassen

./configure --with-gtk2

oder aber das fehlende Paket installieren sudo apt-get install libgtk-3-dev

make

sudo make install

 

Natürlich ist der Netzwerk Sniffer auch auf anderen Systemen lauffähig. Weitere Installationspakete lassen sich auf der Downloadseite finden.

wireshark download


Nmap 7 Installation unter Debian Systemen

Nicht nur Wireshark wurde in einer neuen Version veröffentlicht, auch der Security Scanner Nmap ist nach langer Entwicklungszeit aktualisiert worden.

nmap

Die Version 7 bringt 171 neue Scripte, sowie 20 Bibliotheken für die Nmap Scripting Engine mit. Auch die IPv6 Unterstützung wurde verbessert. (Release Notes)

Ubuntu Repositories bringen eine ältere Version des Sicherheitsscanner mit, die aktuellste lässt sich leicht manuell installieren.

wget https://nmap.org/dist/nmap-7.00.tar.bz2

bzip2 -cd nmap-7.00.tar.bz2 | tar xvf -

cd nmap-7.00

./configure

make

sudo make install

Auch hier kann mit "nmap --version" die Gegenkontrolle auf die installierte Version gemacht werden.

Alternativ kann auch ein RPM Paket heruntergeladen und in ein Debian Paket umgewandelt werden. Mit dem Tool Alien ist dies schnell erledigt.

wget https://nmap.org/dist/nmap-7.00-1.x86_64.rpm

sudo alien nmap-7.00-1.x86_64.rpm

nmap_7.00-2_amd64.deb generated

sudo dpkg -i nmap_7.00-2_amd64.deb

Wireshark 1.8 - Netzwerkanalyse nun auf mehreren Schnittstellen

Wireshark, ehemals Ethereal, ist ein bekannter Netzwerksniffer. Das Programm zeichnet den gesamten Datenverkehr einer Netzwerkschnittstelle auf.

Mit der neuen Version 1.8.0 werden nun mehrere Schnittstellen unterstützt.

Das Tool unterstützt fast 100 neue Protokolle (z.B. Aastra Signalling Protocol (AASP), ActiveMQ OpenWire, Bandwidth Reservation Protocol (BRP), Bazaar, Binary Floor Control Protocol, BitTorrent DHT, C12.22, CANopen, CIP Motion, CIP Safety, Cisco FabricPath MiM, DMX Channel Data, DMX SIP, DMX Test, DMX Text, DMX, DVB Application Information Table, DVB Bouquet Association Table, DVB Event Information Table, ... alle).

Ältere Protokolle haben zusätzlich Updates erhalten.

Weitere Neuerungen sind

  • Wireshark supports capturing from multiple interfaces at once.
  • You can now add, edit, and save packet and capture file annotations. Wireshark, TShark, and their associated utilities now save files using the pcap-ng file format by default. (Your copy of Wireshark might still use the pcap file format if pcap-ng is disabled in your preferences.)
  • Decryption key management for IEEE 802.11, IPsec, and ISAKMP is easier. OID resolution is now supported on 64-bit Windows.
  • The "Save As" menu item has been split into "Save As", which lets you save a file using a different filename and "Export Specified Packets", which lets you have more control over which packets are saved.
  • TCP fast retransmissions are now indicated as an expert info note, rather than a warning, just as TCP retransmissions are.
  • TCP window updates are no longer colorized as "Bad TCP".
  •  TShark's command-line options have changed. The previously undocumented -P option is now -2 option for performing a two-pass analysis; the former -S option is now the -P option for printing packets even if writing to a file, and the -S option is now used to specify a different line separator between packets.
  • GeoIP IPv6 databases are now supported
wireshark

Anleitung Wireshark englisch

Anleitung Wireshark deutsch

Download Wireshark