Ensemble de flux pour renifleur de paquets r�seau: Streamdump

avant-propos

En temps de paix la n�cessit� d'une analyse des paquets et des statistiques sur ou effectuer la capture de paquets, en utilisant souvent des outils tels que Wireshark ou tcpdump. Ces deux outils et tshark (ligne de commande de Wireshark), il a essentiellement couvert la majeure partie du sc�nario de la demande, mais si vous avez besoin de diviser un seul grand flux d'�chelle pour l'analyse, l'extraction de caract�ristiques, il semble que ces outils n'ont pas �t� en mesure de fournir facilement couper des solutions de flux de travail.

La pratique la plus courante est filtr�e � travers une r�gle plus conforme � la r�gle abstraite de tous les paquets dans un sac de PPCE d'enregistrement, suivi d'une op�ration d'�criture est mis en uvre ou le script Python par tshark flux tangentiel et scripts shell. C'est ce qui semble �tre aucune difficult�, mais aussi avoir r�solu le probl�me, il devrait �tre pr�t solution soit.

Sch�ma Wireshark et flux tangentiel tshark

Dans Wireshark, nous sommes habituellement dans le filtre, entrez tcp.stream ==?,? Il indique qu'un flux de nombres dans l'ensemble du paquet, et Wireshark identifiera tous les groupes admissibles de flux de quatre yuans est mont� en fonction du nombre de paquets.

Mais cela n�cessite l'utilisation d'une main pour faire fonctionner, l'efficacit� dois dire qu'il est trop bas, en utilisant tshark pour couper le flux sera beaucoup plus rapide, la commande suivante:

> tshark -r $ EN LIGNE -T champs -e tcp.stream | sort -n | uniq -c | awk -F '' � {if ($ 2 > = 0) print $ 2} ' > tcp_stream_number.txt

repr�sentant le nom du fichier $ Pcap de la ligne, -T, et repr�sente une combinaison d'impression Wireshark -e champs correspondants, ce mode de r�alisation repr�sente la sortie champ tcp.stream, � savoir un certain nombre de cours d'eau. Parce qu'il est pour chaque paquet � la sortie correspondant au nombre de flux de paquets, il est n�cessaire de faire le tri, de duplication des travaux. L'entr�e finale � tous les num�ros de fichier tcp_stream_number.txt de flux en ordre de grandeur.

Enfin, le flux d'extrait puis entrez:

tshark -r $ LINE -Y "tcp.stream == $ (($ tcpnumber))" -w $ filedic / $ streamname.pcap

Repr�sentant du nom de fichier LINE PPCE $, $ tcpnumber repr�sentant le contenu de chaque ligne lue � partir du fichier tcp_stream_number.txt, $ (($ tcpnumber)) dans un environnement num�rique, $ filedic, $ streamName repr�sentent les r�pertoires et les noms de fichiers, au-dessus commande indique un d�bit d'extraction � partir de $ message LINE.

Ainsi, il peut �tre actionn� tangentielle. Mais en g�n�ral, bien que tshark beaucoup plus efficace qu'une simple mode op�ratoire manuel Wireshark, cependant, est un tshark une fois que le paquet entier est lu en m�moire, analys�es puis sortie unifi� pour l'analyse des fichiers tr�s volumineux, la demande de ressources est �norme.

En d'autres termes, si vous n'avez pas d'�normes ressources de la m�moire, l'utilisation du fonctionnement tshark pour couper le flux de gros fichiers, il est difficile d'aller plus loin! Il convient �galement de noter est que lorsque le nombre excessif de fichiers de flux, en raison de la poign�e de fichiers excessive erreur g�n�r�e se produit, ne peut pas continuer.

Plus pr�cis�ment, le fractionnement d'un seul flux, nous avons d�termin� habituellement par quatre tuple, qui ne peut d�terminer le d�bit dans une seule direction, mais le plus souvent, nous devons analyser le flux dans les deux sens.

StreamDump

Donc, � un assemblage � grande �chelle et l'analyse des flux individuels r�pondent dit pr�c�demment, il est mineur d'introduire un gadget dans notre groupe ont �t� utilis�s - StreamDump, groupes en fonction de quatre yuans chaque flux TCP � re-TCP assemblage r�duction et enregistr� en tant que PPCE de fichier s�par� respectivement. Pour compiler l'efficacit� op�rationnelle et pratique, le programme utilise golang pour atteindre.

Plusieurs caract�ristiques du programme:

Soutien des r�gles de filtrage peuvent �tre personnalis�s FPB en fonction des besoins de filtration

Il prend en charge deux voies capture de flux de donn�es, enregistrez le fichier nomm� selon le quad: IP -IP .pcap, dans le cas de donn�es bidirectionnel courant m�moris�es � un premier des param�tres de paquet quad captur� dans nommage

prend en charge non seulement le trafic en temps r�el captur� � partir de la carte, l'analyse prend �galement en charge la lecture de fichiers PPCE, vous avez besoin de filtrer flux de fichier

Fonction, tout petit, mais il peut faire beaucoup de choses! Surtout quand vous devez r�soudre un fichier pcap 10G ou 20G lors de l'utilisation de Python pour analyser l'efficacit� est tr�s faible!

Spin-off du flux TCP quel est l'utilisation? Si vous avez besoin d'analyser un flux particulier ou un groupe, ou un flux d'application sp�cifique, je pense que cet outil doit �tre tr�s utile pour vous, et vous permettra d'�conomiser beaucoup de temps!

Sans plus tarder, voici simplement pour parler de la fa�on d'utiliser ce gadget:

Compile

Compilateur sera tr�s d�tendue, go est livr� avec un outil de compilateur, r�cup�rer simplement le sac d�pend des biblioth�ques locales, compilateur directement sur elle

> aller chercher github.com/google/gopacket > aller construire -o streamdump streamdump.go

Cas d'utilisation

Utilisation: streamdump options: -b flux de donn�es bidirectionnel de capture cha�ne -d Le nom de domaine du paquet � capturer -f cha�ne r�gles de filtrage pour FPB PPCE (par d�faut � tcp �) -h imprimer ce message d'aide et de sortie cha�ne -i Interface pour obtenir des paquets de (par d�faut � en0 �) -l int SnapLen pour la capture de paquets pcap (par d�faut 1600) -promisc Mode promiscuous (par d�faut true) cha�ne -r Nom du fichier pour lire, overrides -i cha�ne -s Filepath pour enregistrer les fichiers PPCE (par d�faut � ./pcap_s �) -v journaux chaque paquet en d�tail

Il n'y a pas de connexion au sein du programme sera deux minutes de transmission de donn�es invalides

A partir de la valeur par d�faut NIC (en0) et tcp ip capture baidu.com le port de d�bit correspondant 443:

Commande: ./ streamdump -f 'tcp et le port 443' -s' ./stream/ '-d' (Http://www.baidu.com) '

Le programme sera automatiquement requ�te (Http://www.baidu.com) correspondant au domaine IP, et filtr� conform�ment � la condition de filtrage, correspondant � ces crit�res de filtre enregistr� flux TCP, comme indiqu�:

filtre de fichiers PPCE d'un seul trafic TCP:

Commande: ./ streamdump -r './file.pcap' -f 'tcp' -s './stream/'

Il existe de nombreuses combinaisons de coutume, nous avons tous besoin de mains vers le haut! Par exemple, les donn�es dans les deux sens � l'aide de l'option -b pour sauver!

Eh bien, une br�ve introduction ici, je l'esp�re, ce petit gadget peut am�liorer certains de l'efficacit� pour tout le monde!

Important lieu � nouveau! ! ! Nous avons une open source de programme Des instructions plus d�taill�es sur le cas d'utilisation a �t� Github, exigent que les �l�ves � lire leur propre!

Adresse Open Source

T�l�charger le programme ex�cutable

* L'auteur: SCU-igroup, tir� � part FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

Ensemble de flux pour renifleur de paquets r�seau: Streamdump