可视化数据包分析工具-CapAnalysis
可視化數(shù)據(jù)包分析工具-CapAnalysis
我們知道,Xplico是一個(gè)從pcap文件中解析出IP流量數(shù)據(jù)的工具,本文介紹又一款實(shí)用工具—CapAnalysis(可視化數(shù)據(jù)包分析工具),將比Xplico更加細(xì)致的分析功能,先別著急安裝,下面我們首先了解Pcap包的基本結(jié)構(gòu),然后告訴你如何使用,最后是一段多媒體教程給大家演示一些精彩環(huán)節(jié)。
下面這段我制作的可視化視頻也深受大家喜歡:
http://www.tudou.com/programs/view/kpZrZxCk5ZI/
1.PCAP結(jié)構(gòu)
以太網(wǎng)中的數(shù)據(jù)幀是由數(shù)據(jù)鏈路層負(fù)責(zé)封裝,網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包都被加上幀頭和幀尾成為可以被數(shù)據(jù)鏈路層識(shí)別的數(shù)據(jù)幀。雖然幀頭和幀尾所用的字節(jié)數(shù)是固定的,但依被封裝的數(shù)據(jù)包大小的不一樣,所以以太網(wǎng)的長度也在動(dòng)態(tài)變化,但其大小在64~1518B。下圖我們先了解一下PCAP格式文件結(jié)構(gòu),從下圖我們能看出Pcap文件的整體結(jié)構(gòu)和頭結(jié)構(gòu)。
圖1Pcap包結(jié)構(gòu)
1.PCAP文件的頭數(shù)據(jù)結(jié)構(gòu)含義
PCAP文件頭數(shù)據(jù)24(4+2+2+4+4+4+4)B各字段說明:
?Magic:4B0x1A2B3C4D,用來標(biāo)示文件的開始;
?Major:2B0x0200,代表當(dāng)前文件主要的版本號(hào);
?Minor:2B0x0400,代表當(dāng)前文件次要的版本號(hào);
?ThisZone:4B,代表當(dāng)?shù)氐臉?biāo)準(zhǔn)時(shí)間;
?SigFigs:4B,表示時(shí)間戳的精度;
?SnapLen:4B,表示最大的存儲(chǔ)長度;
?LinkType:4B,表示鏈路類型。
2Packet數(shù)據(jù)包頭和組成含義
PCAP格式文件中數(shù)據(jù)包的組成與數(shù)據(jù)包頭的結(jié)構(gòu)字段說明如下:
?Timestamp:時(shí)間戳高位,精確到s;
?Timestamp:時(shí)間戳低位,精確到μs;
?Caplen:當(dāng)前數(shù)據(jù)區(qū)的長度,即抓到的數(shù)據(jù)幀長度,由此可以得到下一個(gè)數(shù)據(jù)幀的位置;
?Len:離線數(shù)據(jù)長度,網(wǎng)絡(luò)中實(shí)際數(shù)據(jù)幀的長度,一般不大于Caplen,多數(shù)情況下和Caplen數(shù)值相等;
Packet數(shù)據(jù)即Packet(通常就是鏈路層的數(shù)據(jù)幀)具體內(nèi)容,長度就是Caplen,這個(gè)長度的后面,就是當(dāng)前PCAP文件中存放的下一個(gè)Packet數(shù)據(jù)包,也就是說:PCAP文件里面并沒有規(guī)定捕獲的Packet數(shù)據(jù)包之間有什么間隔字符串,下一組數(shù)據(jù)在文件中的起始位置。需要靠第一個(gè)Packet包確定。最后Packet數(shù)據(jù)部分的格式其實(shí)就是標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議格式。
2.PCAP分析工具
1)分析工具安裝
選用Ubuntu10.x以上系統(tǒng),執(zhí)行一下命令
$sudoapt-getupdate&&sudoapt-getinstall-ygdebi&&sudogdebi-ncapanalysis_*.deb
注意,除了上面手動(dòng)安裝CapAnalysis工具以外,我們可以使用DEFT8.0工具盤來直接使用,用它啟動(dòng)系統(tǒng)并進(jìn)入到圖形界面就能直接使用。由于CapAnalysis后臺(tái)使用的數(shù)據(jù)庫是PostgreSQL,所以它的運(yùn)行性能要較Mysql數(shù)據(jù)庫的一些工具高。
2)Deft8中啟動(dòng)Capanalysis方法
在服務(wù)中先啟動(dòng)Apache服務(wù),然后啟動(dòng)capanalysis服務(wù),最后啟動(dòng)數(shù)據(jù)庫。
#sudoservicepostgresqlstop
#sudoservicepostgresqlstart
3)訪問CapanalysisWeb界面:
http://your_server_ip:9877orhttp://localhost:9877
注意,為了激活系統(tǒng)首先要獲取Key,點(diǎn)擊“clickheretirequestthekey”,這時(shí)輸入email地址,并確認(rèn),網(wǎng)站會(huì)發(fā)送一個(gè)臨時(shí)的key給你。注意同一個(gè)Ip不能重復(fù)申請(qǐng)。
剛進(jìn)去是需要初始化系統(tǒng)的,點(diǎn)擊New,新添加一個(gè)分析事件名稱,然后用抓包工具例如tcpdump、wireshark等工具抓取pacp包,一般我們要通過過濾器,過濾掉無用的數(shù)據(jù)包。
4)導(dǎo)入分析數(shù)據(jù)包
#catcgweb.pcap|nc127.0.0.130001
如果有新的包過來可以繼續(xù)導(dǎo)入,第二次抓包,再導(dǎo)入:
#catcgweb2.pcap|nc127.0.0.130001
數(shù)據(jù)流會(huì)進(jìn)行累加,并記錄次序。我們還可以在Ossim系統(tǒng)中,導(dǎo)出Snort抓到的可疑數(shù)據(jù)包,然后通過這種方法導(dǎo)入,來集中分析,你會(huì)得到一些意想不到的效果。
系統(tǒng)會(huì)啟動(dòng)如下界面
為了激活系統(tǒng)首先要獲取Key,點(diǎn)擊clickheretirequestthekey
這時(shí)輸入email地址,并確認(rèn),網(wǎng)站會(huì)發(fā)送一個(gè)臨時(shí)的key給你。注意同一個(gè)Ip不能重復(fù)申請(qǐng)。
剛進(jìn)去是需要初始化系統(tǒng)的
點(diǎn)擊New,新添加一個(gè)表單
收集數(shù)據(jù)包:
先用tcpdump抓包(您也可以選用Wireshark圖形化抓包工具)
#tcpdump–wcgweb.pcap
#catcgweb.pcap|nc127.0.0.130001
這是第一次抓包,
執(zhí)行文這條命令以后發(fā)現(xiàn)有了數(shù)據(jù)
第二次抓包
#tcpdump–wcgweb2.pcap
在執(zhí)行
#catcgweb2.pcap|nc127.0.0.130001數(shù)據(jù)流會(huì)進(jìn)行累加
分析數(shù)據(jù)包:
通過下圖我們能夠發(fā)現(xiàn),它通過可視化的方式展現(xiàn)流量,有讀者會(huì)問,這是一種什么圖像呢?雷達(dá)圖、柱狀圖都認(rèn)識(shí)了,最下方的是什么圖形表達(dá)方式呢?它叫桑基圖(Sankey diagram),即桑基能量分流圖,也叫桑基能量平衡圖。它是一種特定類型的流程圖,圖中延伸的分支的寬度對(duì)應(yīng)網(wǎng)絡(luò)數(shù)據(jù)流量的大小,這里應(yīng)用于數(shù)據(jù)的可視化分析。
瀏覽高清視頻請(qǐng)點(diǎn)擊:http://www.tudou.com/programs/view/PN9Xi8IlQW0/
本文出自 “李晨光原創(chuàng)技術(shù)博客” 博客,請(qǐng)務(wù)必保留此出處http://chenguang.blog.51cto.com/350944/1325742
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的可视化数据包分析工具-CapAnalysis的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Hive中生成随机唯一标识ID的方法
- 下一篇: No style sheet with