介紹
Netcap (NETwork CAPture) 是一個基于命令行的工具,用于對網絡流量進行數據包數據分析,該工具能夠捕獲網絡流量中的數據包流并將其轉換為系統可以識別的審計記錄。生成的審計記錄可以保存在單獨的硬盤上,也可以通過網絡將結果傳到另外的服務器保存。
Netcap:安全和可擴展的網絡流量分析工具
Netcap 在通過網絡流量收集數據包方面非常有效,數據包可以從離線PCAP-NG或PCAP轉儲文件等輸入源收集,其它數據包可以通過實時界面訪問和收集。
Netcap 使用 Google 的 Protocol Buffers 對其輸出進行編碼,解析很方便。也可以通過逗號分隔的CSV格式傳輸。為了不讓系統中的數據占用太多空間,Netcap 將其所有數據壓縮為gzip格式_._
Netcap 可以使用轉儲工具查看可用的審計記錄,net.dump然后將審計記錄轉換為支持的文件格式,例如 CSV 和 JSON。由格式錯誤的數據包導致的日志錯誤記錄在該errors.log部分中。
特點:
PCAP 和 PCAP-NG 支持
支持 USB 捕捉
允許實時捕捉
CLI命令行界面
可以從分布式來源收集網絡數據包
對取證數據分析非常有用
功能:
net.capture(實時捕獲審計記錄或從轉儲文件中捕獲)
net.dump(轉儲各種格式的審計記錄)
net.label(用于從 netcap 數據創建帶標簽的 CSV 數據集的工具)
net.collect(分布式收集的收集服務器)
net.agent(分布式收集的傳感器代理)
net.proxy(用于從 Web 服務捕獲流量的 http 反向代理)
net.util(用于驗證審計記錄和轉換時間戳的實用工具)
net.export(prometheus 指標的導出器)
支持的平臺
Windows, Linux, OS X
Netcap的安裝
使用Go Get
$goget-ugithub.com/dreadl0ck/netcap/...
要安裝命令行(使用 Development Build),請運行:
$gobuild-o$(goenvGOPATH)/bin/netcap-igithub.com/dreadl0ck/netcap/cmd
MacOS使用brew安裝
$brewtapdreadl0ck/formulas $brewinstallnetcap
安裝Netcap后,執行如下命令檢查所有單元是否正常運行:
$gotest-v-bench=../...
Netcap使用
/| ______________10|____________________ //\//\/01/|//|//\//\ 0010100/|/011010/|101010//0101010/001010|/100110| 01|00|0000|10|__00|/10|00|01| 10|01|01001010/00|/|01\_____/0101000|00|__10/| 10|00|00//|1000/00//|0000|00/00/ 00/10/0101000/0010/0010010/0010100/1010100/ 00| NetworkProtocolAnalysisFramework00| createdbyPhilippMieden,201800/ v5 +---------------+--------+ |Setting|Value| +---------------+--------+ |Workers|1000| |MemBuffer|true| |Compression|true| |PacketBuffer|100| +---------------+--------+ spawned1000workers initialized29layerencoders|buffersize:4096 initialized7customencoders|buffersize:4096 runningsince535785474s,captured13000packets…
要查看 Netcap 所支持的所有編碼器,加上–encoders參數,根據你要執行的操作,你可以使用這些標志來排除-exclude或包含-include編碼器 。
例子:
從網卡讀取流量:
$net.capture-ifaceeth0
使用 Ctrl-C (SIGINT) 停止捕獲。
PCAP從和PCAP-NG轉儲文件中讀取流量:
$net.capture-rtraffic.pcap
讀取轉儲文件并打印stdout為csv格式
$net.dump-rTCP.ncap.gz
將 CSV 輸出保存到文件:
$net.dump-rTCP.ncap.gz-selectTimestamp,SrcPort,DstPort>tcp.csv
展示
還可以通過grafana實時展示網絡數據
-
網絡流量
+關注
關注
0文章
58瀏覽量
10368 -
PCAP
+關注
關注
0文章
12瀏覽量
12614 -
分析工具
+關注
關注
0文章
28瀏覽量
5082
原文標題:Linux網絡流量安全審計的神器
文章出處:【微信號:良許Linux,微信公眾號:良許Linux】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論