Nsm-console

From aldeid
Jump to navigation Jump to search

NSM-Console

Description

NSM-Console (Network Security Monitoring Console) est un framework permettant l'analyse de fichiers de capture. Ecrit en Ruby, il propose une structure en modules lui permettant d'être évolutif. Il est d'ailleurs possible d'écrire ses propres modules.

Site officiel : http://writequit.org/projects/nsm-console/

Installation

Pré-requis

# apt-get install ruby-1.9 \
   libreadline-ruby1.9 \
   libpcap-ruby

nsm-console

# cd /usr/local/
# wget http://writequit.org/projects/nsm-console/files/nsm-console-0.7.tar.gz
# tar xzvf nsm-console-0.7.tar.gz

Script de lancement

Afin de pouvoir appeler nsm-console dans le terminal, il est nécessaire de créer un script de lancement qui sera stocké dans un chemin connu de la variable d'environnement $PATH. Pour ce faire, créer un fichier nsm-console dans le répertoire /usr/bin/ comme suit : 

# cat /usr/bin/nsm-console
cd /usr/local/nsm-console/
./nsm

Une fois ceci fait, l'invocation de la commande nsm-console à partir du terminal vous permettra de lancer nsm-console.

Utilisation

Lancement

Pour lancer NSM-Console, entrer la commande suivante (à condition d'avoir créé le script de lancement comme décrit plus haut) : 

# nsm-console
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
                         ,.---.
               ,,,,     /    _ `.
                \\\\   /      \  )
                 |||| /\/``-.__\/          NSM
                 ::::/\/_
 {{`-.__.-'(`(^^(^^^(^ 9 `.========='
{{{{{{ { ( ( (  (   (-----:=
 {{.-'~~'-.(,(,,(,,,(__6_.'=========.
                 ::::\/\ 
                 |||| \/\  ,-'/\           console
                ////   \ `` _/  )
               '     \  `   /
                         `---
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

NSM Console version 0.7

Loading modules from: modules
Loading fl0p.module...done.
Loading bro-ids-stream.module...done.
Loading ip2asn.module...done.
Loading pads.module...done.
Loading clamscan.module...done.
Loading hash.module...done.
Loading trace-summary.module...done.
Loading tcpick.module...done.
Loading flowtime.module...done.
Loading tcptrace.module...done.
Loading capinfos.module...done.
Loading p0f.module...done.
Loading ngrep.module...done.
Loading tcpxtract.module...done.
Loading snort.module...done.
Loading argus-basic.module...done.
Loading aimsnarf.module...done.
Loading flowtag.module...done.
Loading chaosreader.module...done.
Loading iploc.module...done.
Loading foremost.module...done.
Loading bro-ids-conn.module...done.
Loading yahsnarf.module...done.
Loading bro-ids-protocol.module...done.
Loading tcpdstat.module...done.
Loading tcpflow.module...done.
Loading honeysnap.module...done.
Loading harimau.module...done.
Loading tshark.module...done.

29 modules loaded.

Loading categories from modules/categories
Loading forensics...done.
Loading IDS...done.
Loading nsm...done.
Loading statistics...done.
Loading flow...done.

5 categories loaded.

Logging to logs/nsm-log.20091011.log

Default ${OUTPUT_DIR} is '${PCAP_BASE}-output'
Default ${MODULE_DIR} is 'modules'

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Welcome to NSM Console, type 'help' to see available commands
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Note: All modules are DISABLED by default, use 'list' to list available
modules and 'toggle <module>' to disable/enable a module.


nsm>

Catégories

INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.
  • forensics
  • IDS
  • nsm
  • statistics
  • flow

Modules

Liste des modules

INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.
  • fl0p - Analyze the flow of packets for fingerprints
  • bro-ids-stream - The Bro Intrusion Detection System (extract stream contents)
  • ip2asn - Get the ASNs for all the IPs in a pcap file
  • pads - Passive Asset Detection System
  • clamscan - Scan extracted files for malware
  • hash - Create hashes of the pcap file
  • trace-summary - Generate a breakdown of network traffic
  • tcpick - Generate traffic statistics and tcp stream files
  • flowtime - Create a timeline for network traffic flows
  • tcptrace - Perform trace analysis on the packet file
  • capinfos - Extract information about a capture file
  • p0f - Passive OS fingerprinting
  • ngrep - Grep through pcap file for data
  • tcpxtract - Extract data files from a pcap session
  • snort - Generate snort alerts from a pcap file
  • argus-basic - Perform basic argus flow statistics on the file, see info for details
  • aimsnarf - Extracts AIM messages from a pcap file
  • flowtag - Visualizes the flows of a pcap file
  • chaosreader - Trace TCP/UDP sessions and fetch application data
  • iploc - Determine location of inbound and outbound traffic
  • foremost - Extract files from a data file
  • bro-ids-conn - The Bro Intrusion Detection System (extract flow connection records)
  • yahsnarf - Extract Yahoo IM conversations from the pcap
  • bro-ids-protocol - The Bro Intrusion Detection System (analyze protocols for alarms)
  • tcpdstat - Extract statistics about a pcap file
  • tcpflow - Extract flow information from a pcap file
  • honeysnap - Perform honeysnap analysis on pcap file captured from a honeypot
  • harimau - Check IPs in the pcap file against the harimau blacklist
  • tshark - Analyze network traffic

Utiliser list pour afficher la liste des modules et voir s'ils sont activés ou non.

Activer un module

INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.

Désactiver un module

INCOMPLETE SECTION OR ARTICLE
This section/article is being written and is therefore not complete.
Thank you for your comprehension.

Commandes

Commande Description
alias Permet de définir un alias pour une commande. Syntaxe : alias <cmd> = <newcmd(s)>
checkip Vérifie la présence de l'IP fournie dans la base Harimau Watchlist (http://watchlist.security.org.my/watchlist)
color Active ou désactive les couleurs de l'interface
credits Affiche la liste des contributeurs du programme
decode string]. Permet de décoder un fichier dans divers formats de codage (base64, urlescape, binary, binary_MSB, binary_LSB, hex, char, uudecode, octal, rot13). Entrer decode sans argument pour obtenir de l'aide
dump Exporte le contenu d'un paquet dans une fichier. Entrer dump sans argument pour obtenir de l'aide.
e Permet d'exécuter une commande externe. Alias de exec
encode string]. Permet d'encoder une chaîne dans différents formats (base64, md5, sha256, urlescape, binary, binary_MSB, binary_LSB, hex, hex_MSB, hex_LSB, uuencode, rot13). Entrer encode sans argument pour obtenir de l'aide.
eval Evalue une commande Ruby
exec Exécute une commande externe
file <path> Permet de spécifier le nom du fichier à traiter. Affecte la valeur de la variable ${PCAP_FILE}
help <cmd> Affiche l'aide sur une fonction. Syntaxe : help <cmd>
history Affiche l'historique des commandes
info <module> Affiche des informations sur un module. Par exemple info tshark
ip2asn Trouve l'ASN (Autonomous System Number, voir http://fr.wikipedia.org/wiki/Autonomous_System) à partir d'une adresse IP
iplist <file> Extrait un ensemble d'adresses IP contenues dans un fichier
list Affiche la liste des catégories et des modules et leur état (activé ou désactivé)
logfile <file> Spécifie le fichier de logs dans lequel écrire les événements
modload Charge les modules à partir d'un répertoire donné. Noter que cela s'applique également aux modules déjà chargés.
options [<module>] Sans paramètre, affiche la valeur des variables d'environnement de nsm-console. En spécifiant un <module>, affiche les options spécifiques au module
output Spécifie le répertoire de sortie. Affecte la variable $OUTPUT_DIR
p Alias de la commande print
print Affiche des informations sur un paquet et son payload. Entrer print sans argument pour plus de renseignements.
q Alias de quit
quit Permet de quitter l'interface
run [<modname>] Sans argument, permet de lancer l'analyse du fichier (voir file). Avec un module spécifié en argument, permet d'exécuter l'analyse sur ce module (même si celui-ci n'a pas été activé)
set Fixe les options d'un module. Entrer set sans argument pour obtenir des informations sur l'utilisation.
all|none> Permet d'activer ou de désactiver un module
unalias Permet de supprimer un alias. Voir la commande alias
update Met à jour nsm-console via SVN (Subversion)
Retrieved from "https://www.aldeid.com/w/index.php?title=Nsm-console&oldid=19889"