碼上快樂

相關內容    簡體    繁體

可視化數據包分析工具-CapAnalysis

本文轉載自   查看原文   2014-05-19 19:24   4064 

可視化數據包分析工具-CapAnalysis

我們知道,Xplico是一個從pcap文件中解析出IP流量數據的工具,本文介紹又一款實用工具—CapAnalysis(可視化數據包分析工具),將比Xplico更加細致的分析功能,先別着急安裝,下面我們首先了解Pcap包的基本結構,然后告訴你如何使用,最后是一段多媒體教程給大家演示一些精彩環節。

下面這段我制作的可視化視頻也深受大家喜歡:

http://www.tudou.com/programs/view/kpZrZxCk5ZI/

1.PCAP結構

以太網中的數據幀是由數據鏈路層負責封裝,網絡層傳輸的數據包都被加上幀頭和幀尾成為可以被數據鏈路層識別的數據幀。雖然幀頭和幀尾所用的字節數是固定的,但依被封裝的數據包大小的不一樣,所以以太網的長度也在動態變化,但其大小在64~1518B。下圖我們先了解一下PCAP格式文件結構,從下圖我們能看出Pcap文件的整體結構和頭結構。

clip_image002

圖1Pcap包結構

1.PCAP文件的頭數據結構含義

PCAP文件頭數據24(4+2+2+4+4+4+4)B各字段說明:

?Magic:4B0x1A2B3C4D,用來標示文件的開始;

?Major:2B0x0200,代表當前文件主要的版本號;

?Minor:2B0x0400,代表當前文件次要的版本號;

?ThisZone:4B,代表當地的標准時間;

?SigFigs:4B,表示時間戳的精度;

?SnapLen:4B,表示最大的存儲長度;

?LinkType:4B,表示鏈路類型。

2Packet數據包頭和組成含義

PCAP格式文件中數據包的組成與數據包頭的結構字段說明如下:

?Timestamp:時間戳高位,精確到s;

?Timestamp:時間戳低位,精確到μs;

?Caplen:當前數據區的長度,即抓到的數據幀長度,由此可以得到下一個數據幀的位置;

?Len:離線數據長度,網絡中實際數據幀的長度,一般不大於Caplen,多數情況下和Caplen數值相等;

Packet數據即Packet(通常就是鏈路層的數據幀)具體內容,長度就是Caplen,這個長度的后面,就是當前PCAP文件中存放的下一個Packet數據包,也就是說:PCAP文件里面並沒有規定捕獲的Packet數據包之間有什么間隔字符串,下一組數據在文件中的起始位置。需要靠第一個Packet包確定。最后Packet數據部分的格式其實就是標准的網絡協議格式。

2.PCAP分析工具

1)分析工具安裝

選用Ubuntu10.x以上系統,執行一下命令

$sudoapt-getupdate&&sudoapt-getinstall-ygdebi&&sudogdebi-ncapanalysis_*.deb

注意,除了上面手動安裝CapAnalysis工具以外,我們可以使用DEFT8.0工具盤來直接使用,用它啟動系統並進入到圖形界面就能直接使用。由於CapAnalysis后台使用的數據庫是PostgreSQL,所以它的運行性能要較Mysql數據庫的一些工具高。

2)Deft8中啟動Capanalysis方法

在服務中先啟動Apache服務,然后啟動capanalysis服務,最后啟動數據庫。

#sudoservicepostgresqlstop

#sudoservicepostgresqlstart

3)訪問CapanalysisWeb界面:

http://your_server_ip:9877orhttp://localhost:9877

注意,為了激活系統首先要獲取Key,點擊“clickheretirequestthekey”,這時輸入email地址,並確認,網站會發送一個臨時的key給你。注意同一個Ip不能重復申請。

剛進去是需要初始化系統的,點擊New,新添加一個分析事件名稱,然后用抓包工具例如tcpdump、wireshark等工具抓取pacp包,一般我們要通過過濾器,過濾掉無用的數據包。

4)導入分析數據包

#catcgweb.pcap|nc127.0.0.130001

如果有新的包過來可以繼續導入,第二次抓包,再導入:

#catcgweb2.pcap|nc127.0.0.130001

數據流會進行累加,並記錄次序。我們還可以在Ossim系統中,導出Snort抓到的可疑數據包,然后通過這種方法導入,來集中分析,你會得到一些意想不到的效果。

系統會啟動如下界面

clip_image004

為了激活系統首先要獲取Key,點擊clickheretirequestthekey

clip_image006

這時輸入email地址,並確認,網站會發送一個臨時的key給你。注意同一個Ip不能重復申請。

clip_image008

clip_image010

剛進去是需要初始化系統的

clip_image012

點擊New,新添加一個表單

clip_image014

收集數據包:

clip_image016

先用tcpdump抓包(您也可以選用Wireshark圖形化抓包工具)

#tcpdump–wcgweb.pcap

#catcgweb.pcap|nc127.0.0.130001

這是第一次抓包,

執行文這條命令以后發現有了數據

clip_image018

第二次抓包

#tcpdump–wcgweb2.pcap

在執行

#catcgweb2.pcap|nc127.0.0.130001數據流會進行累加

clip_image020

分析數據包:

clip_image022

clip_image024

clip_image026


想瀏覽高清視頻請點擊: http://www.tudou.com/programs/view/PN9Xi8IlQW0/


本文出自 “李晨光原創技術博客” 博客,請務必保留此出處http://chenguang.blog.51cto.com/350944/1325742


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 抓包分析工具web版——capanalysis 網絡數據包分析工具列表 可視化GC日志分析工具 可視化GC日志分析工具 數據分析與可視化 【Matplotlib】數據可視化實例分析 數據分析 | 數據可視化圖表,BI工具構建邏輯 Wireshark工具抓包的數據包分析 BI可視化在線分析工具,推薦這2個BI工具! BI報表分析和數據可視化,推薦這三個開源工具!
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM