将pcap文件导入数据库

时间:2014-04-02 01:30:02

标签: mysql wireshark pcap

如果有人可以帮助我,我真的很感激。我有一些Wireshark / pcap文件 - 大约30个文件。我需要分析它们的恶意活动。网络是否以任何方式受到损害。搜索文件的最佳方法是什么?我在考虑将它们加载到数据库中。我知道pcap文件需要先转换为csv格式才能导入数据库。

在Microsoft SQL或mySQL之间使用什么更好的数据库?基本上哪个数据库更容易导入CSV文件?

2 个答案:

答案 0 :(得分:3)

我无法回答您的数据库特定问题,但我可以提供有关如何分析捕获文件以及如何使用现有常用解决方案将其导入数据库的建议。

如果您只想要基于签名的提醒,我建议您阅读您的PCAP文件 进入一个IDS,如Snort或Suricata与Barnyard输出到数据库后端。 Web前端像Snorby和Squert一样存在,用于搜索和分类警报。 使用许多流行的IDS引擎,PCAP文件很容易阅读,例如。

$ snort -r traffic.pcap

如果你只想要数据流,但我想推荐一些应用层解码 使用Bro输出CSV或它的默认TSV(制表符分隔)格式,这很容易 存储在数据库中并提供大量信息。

Bro将其解码的流量写入协议名称的各个日志文件,例如dns.log,http.log。

$ bro -r traffic.pcap
$ head http.log
1216691479.339424   kfuZwhwI5c6 192.168.1.64    41607   65.175.87.70    80  1   GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif    -   Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko)   0   43  200 OK  -   (empty) -   -   -   image/gif   -   -
$ head dns.log
1216691468.360749   MCshRYLiesf 192.168.1.64    20128   192.168.1.254   53  udp 3217    ssl.google-analytics.com    1   C_INTERNET  NOERROR F   F   T   T   0   ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000
$ head ssl.log
1216691467.672054   NdRPIIlKZaa 192.168.1.64    34050   74.125.19.103   443 TLSv10  TLS_RSA_WITH_RC4_128_SHA    www.google.com  9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687    -   -   -   -   -
$ head files.log
1396403999.886276   FIvzWp1ZUUnNJD9i6   192.168.1.64    65.175.87.70    CtuART1AUxrAifTqd4  HTTP    0   SHA1,MD5    image/jpeg  -   9.956452    F   F   728731  728731  0   0   F   -   8cbf8f2e2713629fcd3ade0965e5e1f9    6ebfa114d86191eecb725c14f98b7c2a24a0cfa0    -

要以CSV格式编写输出,您可以设置Bro的字段分隔符,如下所示:

$ bro -r day1.pcap 'LogAscii::separator = ",";'
$ head http.log

1216691479.339424,SVZC7821ith,192.168.1.64,41607,65.175.87.70,80,1,GET,e.drugstore.com,/ a / hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm / spacer.gif, - ,Mozilla / 5.0(Macintosh; U; PPC Mac OS X 10_5_4; en-us)AppleWebKit / 525.18(像Gecko一样的KHTML \ x2c),0,43,200,OK, - , - , - ,(空), - , - , - ,image / gif, - -

我认为最终的 easy 解决方案是在虚拟机中安装SecurityOnion,完成设置向导,然后重播一组PCAP&#39> s 网络接口。

$ tcpreplay -i eth0 *.pcap

这将为您提供上面列出的所有内容,但开箱即用:

  1. 使用Snort或Suricata进行IDS分析,存储在MySQL数据库中,并且可以搜索 通过网络前端:Squert,Snorby和ELSA
  2. Bro日志写入/ nsm / bro / logs并可在ELSA前端搜索
  3. 存储在MySQL数据库中的解码会话(如果适用)和资产信息,可通过Sguil进行搜索,并可转移到Wireshark或Network Minor进行仔细检查。
  4. 能够从网络流中提取Bro文件以进行取证分析

    5. 最后,还有Moloch,一个开源的IPv4完整PCAP捕获,索引和数据库系统。我没有使用过Moloch,但看起来它会解决你的问题。

答案 1 :(得分:1)

有一个工具可以将PCAP文件转换为数据库服务器中的一组关系表。 看看这个: https://code.google.com/p/pcap2sql

问候。

相关问题
最新问题