成都网站制作scgc,用jsp源码做网站,青岛市城乡和住房建设局,php网站开发实例电子版原创作品#xff0c;允许转载#xff0c;转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://chenguang.blog.51cto.com/350944/1325742 可视化数据包分析工具-CapAnalysis 我们知道#xff0c;Xplico是一个从pcap文件中解析出IP流… 原创作品允许转载转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://chenguang.blog.51cto.com/350944/1325742 可视化数据包分析工具-CapAnalysis 我们知道Xplico是一个从pcap文件中解析出IP流量数据的工具本文介绍又一款实用工具—CapAnalysis可视化数据包分析工具将比Xplico更加细致的分析功能先别着急安装下面我们首先了解Pcap包的基本结构然后告诉你如何使用最后是一段多媒体教程给大家演示一些精彩环节。 下面这段我制作的可视化视频也深受大家喜欢 http://www.tudou.com/programs/view/kpZrZxCk5ZI/ 1.PCAP结构 以太网中的数据帧是由数据链路层负责封装网络层传输的数据包都被加上帧头和帧尾成为可以被数据链路层识别的数据帧。虽然帧头和帧尾所用的字节数是固定的但依被封装的数据包大小的不一样所以以太网的长度也在动态变化但其大小在641518B。下图我们先了解一下PCAP格式文件结构从下图我们能看出Pcap文件的整体结构和头结构。 图1Pcap包结构 1PCAP文件的头数据结构含义 PCAP文件头数据24(4224444)B各字段说明 ?Magic:4B0x1A2B3C4D用来标示文件的开始 ?Major:2B0x0200代表当前文件主要的版本号 ?Minor:2B0x0400代表当前文件次要的版本号 ?ThisZone:4B代表当地的标准时间 ?SigFigs:4B表示时间戳的精度 ?SnapLen:4B表示最大的存储长度 ?LinkType4B表示链路类型。 2Packet数据包头和组成含义 PCAP格式文件中数据包的组成与数据包头的结构字段说明如下 ?Timestamp时间戳高位精确到s ?Timestamp时间戳低位精确到μs ?Caplen当前数据区的长度即抓到的数据帧长度由此可以得到下一个数据帧的位置 ?Len离线数据长度网络中实际数据帧的长度一般不大于Caplen多数情况下和Caplen数值相等 Packet数据即Packet通常就是链路层的数据帧具体内容长度就是Caplen这个长度的后面就是当前PCAP文件中存放的下一个Packet数据包也就是说PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串下一组数据在文件中的起始位置。需要靠第一个Packet包确定。最后Packet数据部分的格式其实就是标准的网络协议格式。 2.PCAP分析工具 1分析工具安装 选用Ubuntu10.x以上系统执行一下命令 $sudoapt-getupdatesudoapt-getinstall-ygdebisudogdebi-ncapanalysis_*.deb 注意除了上面手动安装CapAnalysis工具以外我们可以使用DEFT8.0工具盘来直接使用用它启动系统并进入到图形界面就能直接使用。由于CapAnalysis后台使用的数据库是PostgreSQL所以它的运行性能要较Mysql数据库的一些工具高。 2Deft8中启动Capanalysis方法 在服务中先启动Apache服务然后启动capanalysis服务最后启动数据库。 #sudoservicepostgresqlstop #sudoservicepostgresqlstart 3)访问CapanalysisWeb界面 http://your_server_ip:9877orhttp://localhost:9877 注意为了激活系统首先要获取Key,点击“clickheretirequestthekey”这时输入email地址并确认网站会发送一个临时的key给你。注意同一个Ip不能重复申请。 刚进去是需要初始化系统的点击New,新添加一个分析事件名称然后用抓包工具例如tcpdump、wireshark等工具抓取pacp包一般我们要通过过滤器过滤掉无用的数据包。 4导入分析数据包 #catcgweb.pcap|nc127.0.0.130001 如果有新的包过来可以继续导入第二次抓包再导入 #catcgweb2.pcap|nc127.0.0.130001 数据流会进行累加并记录次序。我们还可以在Ossim系统中导出Snort抓到的可疑数据包然后通过这种方法导入来集中分析你会得到一些意想不到的效果。 系统会启动如下界面 为了激活系统首先要获取Key,点击clickheretirequestthekey 这时输入email地址并确认网站会发送一个临时的key给你。注意同一个Ip不能重复申请。 刚进去是需要初始化系统的 点击New,新添加一个表单 收集数据包 先用tcpdump抓包您也可以选用Wireshark图形化抓包工具 #tcpdump–wcgweb.pcap #catcgweb.pcap|nc127.0.0.130001 这是第一次抓包 执行文这条命令以后发现有了数据 第二次抓包 #tcpdump–wcgweb2.pcap 在执行 #catcgweb2.pcap|nc127.0.0.130001数据流会进行累加 分析数据包 通过下图我们能够发现它通过可视化的方式展现流量有读者会问这是一种什么图像呢雷达图、柱状图都认识了最下方的是什么图形表达方式呢它叫桑基图Sankey diagram即桑基能量分流图也叫桑基能量平衡图。它是一种特定类型的流程图图中延伸的分支的宽度对应网络数据流量的大小这里应用于数据的可视化分析。 浏览高清视频请点击http://www.tudou.com/programs/view/PN9Xi8IlQW0/ 本文出自 “李晨光原创技术博客” 博客请务必保留此出处http://chenguang.blog.51cto.com/350944/1325742
