Forum » Omrežja in internet » Orodje za analizo PCAP datotek
Orodje za analizo PCAP datotek
poweroff ::
Iščem kakšno preprosto orodje za osnovno analizo in vizualizacijo PCAP datotek oz. s tcpdump zajetega prometa. Wireshark je sicer OK, ampak za moj namen overkill.
Našel sem CapAnalysis (web-based orodje) in NetworkMiner (Mono), zanima me, če obstaja še kaj podobnega.
Zadevo bi načeloma poganjal na RaspberryPi, se pravi bi bilo idealno, da teče kot spletna aplikacija. CapAnalysis je sicer OK, ampak ne zna zajemati podatkov on-the-fly. Lahko jih sicer pošljem direktno na nek port z NetCatom, ampak se uvozijo šele, ko se stream zaključi. Jaz bi pa rad, da beleži podatke stalno in dinamično prikazuje analizo...
Našel sem CapAnalysis (web-based orodje) in NetworkMiner (Mono), zanima me, če obstaja še kaj podobnega.
Zadevo bi načeloma poganjal na RaspberryPi, se pravi bi bilo idealno, da teče kot spletna aplikacija. CapAnalysis je sicer OK, ampak ne zna zajemati podatkov on-the-fly. Lahko jih sicer pošljem direktno na nek port z NetCatom, ampak se uvozijo šele, ko se stream zaključi. Jaz bi pa rad, da beleži podatke stalno in dinamično prikazuje analizo...
sudo poweroff
AndrejO ::
Kakšno analizo pa želiš narediti? Nekaj osnovnega, kar se tiče 2-4 nivoja ali bi raje še kaj globje čaral?
Če nič drugega lahko z libpcap bereš datoteko ali pa neposredno zajemaš pakete, ki te zanimajo, nato pa delaš kakršnokoli analizo pač želiš. Resne težave se bodo začele šele v primeru, da želiš obravnavati čisto vsak možen robni pogoj ali pa želiš pregledovati vsebino TCP/UDP/ICMP/foo paketov in se ne boš ustavil zgolj pri glavah teh protokolov.
Če nič drugega lahko z libpcap bereš datoteko ali pa neposredno zajemaš pakete, ki te zanimajo, nato pa delaš kakršnokoli analizo pač želiš. Resne težave se bodo začele šele v primeru, da želiš obravnavati čisto vsak možen robni pogoj ali pa želiš pregledovati vsebino TCP/UDP/ICMP/foo paketov in se ne boš ustavil zgolj pri glavah teh protokolov.
poweroff ::
CapAnalysis je za moj namen redu, ker pokaže kateri protokoli so se uporabljali, katere so bile ciljne države/IP naslovi ter količina prenesenih podatkov (tudi per IP, per country, per protocol).
Rač nariše grafe.
Za kaj resnega itak uporabljam Wireshark, tole bi bilo zgolj za hiter "GUI overview"...
Rač nariše grafe.
Za kaj resnega itak uporabljam Wireshark, tole bi bilo zgolj za hiter "GUI overview"...
sudo poweroff
poweroff ::
Še tole... zajem poteka na napravi, ki ima IP 172.16.0.1. To je v bistvu Wifi, gor se priklopi telefon, ki dobi nek naslov, recimo 172.16.0.102
Če rečem:
sudo tcpdump -i wlan0 -s 65535 -w telefon.pcap '(ether host 11:22:33:44:55:66) and not (src net 172.16.0.0/24 and dst net 172.16.0.0/24)'
Potem bi moral:
- zajeti vse paketke naprave z MAC naslov 11:22:33:44:55:66
- izločiti ves "lokalni" promet (kar se pogovarjata Wi-Fi AP in telefon)
Če prav razumem, je to to, ampak bi rad vseeno preveril.
Če rečem:
sudo tcpdump -i wlan0 -s 65535 -w telefon.pcap '(ether host 11:22:33:44:55:66) and not (src net 172.16.0.0/24 and dst net 172.16.0.0/24)'
Potem bi moral:
- zajeti vse paketke naprave z MAC naslov 11:22:33:44:55:66
- izločiti ves "lokalni" promet (kar se pogovarjata Wi-Fi AP in telefon)
Če prav razumem, je to to, ampak bi rad vseeno preveril.
sudo poweroff
jype ::
Aja, tako vizualizacijo. Pojma nimam, to je precej bolj "executive level" kot sem vajen gledati.
Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.
Če prav razumem, je to to, ampak bi rad vseeno preveril.Ja, načeloma je to to, vsaj na prvi pogled je filter pravilno napisan (načeloma boš videl tudi promet, ki ni IP, ampak tega danes ne bi smelo biti praktično nič).
Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.
Zgodovina sprememb…
- spremenilo: jype ()
poweroff ::
Aja, če imaš na routerju dnsmasq ali kakšne druge proxyje, potem morda ne boš videl tistega prometa, ker bo z lokalnega naslova na lokalni naslov.
Aha, točno, ja
Imam dnsmasq, ja.
Se pravi v tem primeru se mi splača dnsmasq za čas zajema prometa onemogočit...
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Dnsmasq problemOddelek: Omrežja in internet | 1058 (685) | BlaY0 |
» | Amis TV komunikator za usmerjevalnikom (strani: 1 2 )Oddelek: Omrežja in internet | 13750 (9418) | Master_Yoda |
» | dnsmasq problemOddelek: Omrežja in internet | 1884 (1624) | poweroff |
» | Ethernet bridgeOddelek: Omrežja in internet | 991 (767) | Invictus |
» | DHCP serverOddelek: Omrežja in internet | 1485 (1295) | aleksander10 |