Orodje za analizo PCAP datotek

Iščem kakšno preprosto orodje za osnovno analizo in vizualizacijo PCAP datotek oz. s tcpdump zajetega prometa. Wireshark je sicer OK, ampak za moj namen overkill.

Našel sem CapAnalysis (web-based orodje) in NetworkMiner (Mono), zanima me, če obstaja še kaj podobnega.

Zadevo bi načeloma poganjal na RaspberryPi, se pravi bi bilo idealno, da teče kot spletna aplikacija. CapAnalysis je sicer OK, ampak ne zna zajemati podatkov on-the-fly. Lahko jih sicer pošljem direktno na nek port z NetCatom, ampak se uvozijo šele, ko se stream zaključi. Jaz bi pa rad, da beleži podatke stalno in dinamično prikazuje analizo...

Kakšno analizo pa želiš narediti? Nekaj osnovnega, kar se tiče 2-4 nivoja ali bi raje še kaj globje čaral?

Če nič drugega lahko z libpcap bereš datoteko ali pa neposredno zajemaš pakete, ki te zanimajo, nato pa delaš kakršnokoli analizo pač želiš. Resne težave se bodo začele šele v primeru, da želiš obravnavati čisto vsak možen robni pogoj ali pa želiš pregledovati vsebino TCP/UDP/ICMP/foo paketov in se ne boš ustavil zgolj pri glavah teh protokolov.

Še tole... zajem poteka na napravi, ki ima IP 172.16.0.1. To je v bistvu Wifi, gor se priklopi telefon, ki dobi nek naslov, recimo 172.16.0.102

Če rečem:
sudo tcpdump -i wlan0 -s 65535 -w telefon.pcap '(ether host 11:22:33:44:55:66) and not (src net 172.16.0.0/24 and dst net 172.16.0.0/24)'

Potem bi moral:
- zajeti vse paketke naprave z MAC naslov 11:22:33:44:55:66
- izločiti ves "lokalni" promet (kar se pogovarjata Wi-Fi AP in telefon)

Če prav razumem, je to to, ampak bi rad vseeno preveril.

jype je 5. jul 2017 ob 14:47 izjavil:

Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.

Aha, točno, ja

Imam dnsmasq, ja.

Se pravi v tem primeru se mi splača dnsmasq za čas zajema prometa onemogočit...