» »

Orodje za analizo PCAP datotek

Orodje za analizo PCAP datotek

poweroff ::

Iščem kakšno preprosto orodje za osnovno analizo in vizualizacijo PCAP datotek oz. s tcpdump zajetega prometa. Wireshark je sicer OK, ampak za moj namen overkill.

Našel sem CapAnalysis (web-based orodje) in NetworkMiner (Mono), zanima me, če obstaja še kaj podobnega.

Zadevo bi načeloma poganjal na RaspberryPi, se pravi bi bilo idealno, da teče kot spletna aplikacija. CapAnalysis je sicer OK, ampak ne zna zajemati podatkov on-the-fly. Lahko jih sicer pošljem direktno na nek port z NetCatom, ampak se uvozijo šele, ko se stream zaključi. Jaz bi pa rad, da beleži podatke stalno in dinamično prikazuje analizo...
sudo poweroff

jype ::

A ssh/tcpdump pa ni OK? Katero reč bi rad "videl"?

AndrejO ::

Kakšno analizo pa želiš narediti? Nekaj osnovnega, kar se tiče 2-4 nivoja ali bi raje še kaj globje čaral?

Če nič drugega lahko z libpcap bereš datoteko ali pa neposredno zajemaš pakete, ki te zanimajo, nato pa delaš kakršnokoli analizo pač želiš. Resne težave se bodo začele šele v primeru, da želiš obravnavati čisto vsak možen robni pogoj ali pa želiš pregledovati vsebino TCP/UDP/ICMP/foo paketov in se ne boš ustavil zgolj pri glavah teh protokolov.

poweroff ::

CapAnalysis je za moj namen redu, ker pokaže kateri protokoli so se uporabljali, katere so bile ciljne države/IP naslovi ter količina prenesenih podatkov (tudi per IP, per country, per protocol).

Rač nariše grafe.

Za kaj resnega itak uporabljam Wireshark, tole bi bilo zgolj za hiter "GUI overview"...
sudo poweroff

poweroff ::

Še tole... zajem poteka na napravi, ki ima IP 172.16.0.1. To je v bistvu Wifi, gor se priklopi telefon, ki dobi nek naslov, recimo 172.16.0.102

Če rečem:
sudo tcpdump -i wlan0 -s 65535 -w telefon.pcap '(ether host 11:22:33:44:55:66) and not (src net 172.16.0.0/24 and dst net 172.16.0.0/24)'

Potem bi moral:
- zajeti vse paketke naprave z MAC naslov 11:22:33:44:55:66
- izločiti ves "lokalni" promet (kar se pogovarjata Wi-Fi AP in telefon)

Če prav razumem, je to to, ampak bi rad vseeno preveril.
sudo poweroff

jype ::

Aja, tako vizualizacijo. Pojma nimam, to je precej bolj "executive level" kot sem vajen gledati.

poweroff je izjavil:

Če prav razumem, je to to, ampak bi rad vseeno preveril.
Ja, načeloma je to to, vsaj na prvi pogled je filter pravilno napisan (načeloma boš videl tudi promet, ki ni IP, ampak tega danes ne bi smelo biti praktično nič).

Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.

Zgodovina sprememb…

  • spremenilo: jype ()

poweroff ::

jype je izjavil:

Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.

Aha, točno, ja

Imam dnsmasq, ja.

Se pravi v tem primeru se mi splača dnsmasq za čas zajema prometa onemogočit...
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dnsmasq problem

Oddelek: Omrežja in internet
13799 (426) BlaY0
»

Amis TV komunikator za usmerjevalnikom (strani: 1 2 )

Oddelek: Omrežja in internet
6110833 (6501) Master_Yoda
»

dnsmasq problem

Oddelek: Omrežja in internet
121431 (1171) poweroff
»

Ethernet bridge

Oddelek: Omrežja in internet
9809 (585) Invictus
»

DHCP server

Oddelek: Omrežja in internet
71162 (972) aleksander10

Več podobnih tem