Dentro del mundo de la seguridad existen multitud de campos, pero en muchos de ellos el punto de partida es el análisis de tráfico malicioso. Partiendo de este escenario, podemos echar mano de la herramienta CapTipper para montar un servidor que simule las solicitudes maliciosas a partir de un archivo PCAP.
Dicho de otro modo, con CapTipper podemos cargar un archivo PCAP con los datos de red capturados. De este modo podemos analizar el tráfico original e investigar malware, shellcodes, exploits, etc.
Revive tráfico HTTP malicioso con CapTipper.
La herramienta CapTipper está programada con Python y más concretamente necesita la versión Python 2.7. Una vez instalado podemos levantar el servidor cargando el archivo PCAP con un simple comando:
./captipper.py [archivo_PCAP] -p [puerto_servidor_web=80].
Con esta herramienta a medida que analizamos el flujo del tráfico de red, también se despliega una consola interactiva con diferentes herramientas y comandos que nos ayudarán a analizar el tráfico.
Para evitar problemas de seguridad e infecciones accidentales, los archivos del flujo de red del archivo PCAP no se almacenan en el sistema de archivos. Este sistema además nos evita posibles problemas con antivirus, que pueden interrumpir nuestras tareas de investigación.
El proyecto es libre y está alojado en GitHub: https://github.com/omriher/CapTipper
