Не важно, как медленно ты продвигаешься, главное, что ты не останавливаешься.


Tuesday, 7 April 2015

DFIR Challenge Part 4

Difficult: Medium
Evidence: nfcapd.201405230000 (requires nfdump v1.6.12. Note that nfcapd.201405230000.txt is the same data in nfdump’s “long” output format.)
Question: How many IP addresses attempted to connect to destination IP address 63.141.241.10 on the default SSH port?

Soal ke-4, diberikan file capture yang membutuhkan nfdump untuk membacanya, juga dilampirkan file .txt untuk yang tidak menggunakan nfdump.

Gambar 1 : nfdump command
Dari command pada gambar 1, didapatkan hasil :
Gambar 2 : Hasil nfdump
Terdapat 55 flow data, yang menjadi pertanyaan adalah berapa ip address yang mencoba masuk melalui port SSH, maka dari hasil deretan IP dari nfdump harus difilter lagi agar mendapatkan IP yang benar-benar unik. Dari perintah nfdump diatas, ditambahkan option -q agar header/footer dari hasil nfdump tidak dicetak kelayar, sehingga informasi yang tercetak hanya IP addressnya saja.

Gambar 3 : Unik IP Address
Jawaban : 49 IP Address
5 λ .: DFIR Challenge Part 4 Difficult: Medium Evidence: nfcapd.201405230000 (requires nfdump v1.6.12. Note that nfcapd.201405230000.txt is the same data in nfdump’s “l...

No comments:

Post a comment

< >