AF-2DFB-NW · Ağ / PCAP
Ağ Sızıntı İzi
İNDİRİLEBİLİR gerçek pcap. Bir veri sızdırma oturumunu (gerçek) sızma gibi görünen TUZAK bir bağlantıdan ayır. Wireshark/tshark ile açılır.
Senaryo
Gerçek bir libpcap yakalaması. İçinde iyi-niyetli trafik, bir veri sızdırma oturumu (dış güvenilmez bir hosta 'POST /upload' ile 'secret=' alanı) ve makul görünen ama zararsız bir TUZAK bağlantı ('POST /feedback' ile 'note=') var. Gerçek sızdırmayı ve hedefi belirle; tuzağı raporlama.
Anti-forensics teknikleri
- Ağ gürültüsü (triyaj)
- Tuzak bağlantı (red herring)
- Stream rekonstrüksiyonu
Sağlanan artefaktlar
- libpcap yakalama (Ethernet/IPv4/TCP)
Örnek sorular
- q1: Sızdırılan veri (secret alanındaki bayrak) nedir?
- q2: Sızdırmanın gittiği hedef IP nedir?
- q3: Hangi yöntem/protokol kullanıldı? (örn. http post)
- trap1: Tuzak 'feedback' bağlantısındaki bayrağı sızıntı diye raporlama.
Soundness tuzağı
Tuzak bağlantı zararsız bir 'note' gönderir; onu sızdırma diye raporlamak ağır ceza. Gerçek exfil 'secret=' alanlı dış-host upload'ıdır.
Puanlama
Exfil tespiti + tuzak-bağlantı direnci (soundness).
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.