如果有人可以帮助我,我真的很感激。我有一些Wireshark / pcap文件 - 大约30个文件。我需要分析它们的恶意活动。网络是否以任何方式受到损害。搜索文件的最佳方法是什么?我在考虑将它们加载到数据库中。我知道pcap文件需要先转换为csv格式才能导入数据库。
在Microsoft SQL或mySQL之间使用什么更好的数据库?基本上哪个数据库更容易导入CSV文件?
答案 0 :(得分:3)
我无法回答您的数据库特定问题,但我可以提供有关如何分析捕获文件以及如何使用现有常用解决方案将其导入数据库的建议。
如果您只想要基于签名的提醒,我建议您阅读您的PCAP文件 进入一个IDS,如Snort或Suricata与Barnyard输出到数据库后端。 Web前端像Snorby和Squert一样存在,用于搜索和分类警报。 使用许多流行的IDS引擎,PCAP文件很容易阅读,例如。
$ snort -r traffic.pcap
如果你只想要数据流,但我想推荐一些应用层解码 使用Bro输出CSV或它的默认TSV(制表符分隔)格式,这很容易 存储在数据库中并提供大量信息。
Bro将其解码的流量写入协议名称的各个日志文件,例如dns.log,http.log。
$ bro -r traffic.pcap
$ head http.log
1216691479.339424 kfuZwhwI5c6 192.168.1.64 41607 65.175.87.70 80 1 GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif - Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko) 0 43 200 OK - (empty) - - - image/gif - -
$ head dns.log
1216691468.360749 MCshRYLiesf 192.168.1.64 20128 192.168.1.254 53 udp 3217 ssl.google-analytics.com 1 C_INTERNET NOERROR F F T T 0 ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000
$ head ssl.log
1216691467.672054 NdRPIIlKZaa 192.168.1.64 34050 74.125.19.103 443 TLSv10 TLS_RSA_WITH_RC4_128_SHA www.google.com 9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687 - - - - -
$ head files.log
1396403999.886276 FIvzWp1ZUUnNJD9i6 192.168.1.64 65.175.87.70 CtuART1AUxrAifTqd4 HTTP 0 SHA1,MD5 image/jpeg - 9.956452 F F 728731 728731 0 0 F - 8cbf8f2e2713629fcd3ade0965e5e1f9 6ebfa114d86191eecb725c14f98b7c2a24a0cfa0 -
要以CSV格式编写输出,您可以设置Bro的字段分隔符,如下所示:
$ bro -r day1.pcap 'LogAscii::separator = ",";'
$ head http.log
1216691479.339424,SVZC7821ith,192.168.1.64,41607,65.175.87.70,80,1,GET,e.drugstore.com,/ a / hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm / spacer.gif, - ,Mozilla / 5.0(Macintosh; U; PPC Mac OS X 10_5_4; en-us)AppleWebKit / 525.18(像Gecko一样的KHTML \ x2c),0,43,200,OK, - , - , - ,(空), - , - , - ,image / gif, - -
我认为最终的 easy 解决方案是在虚拟机中安装SecurityOnion,完成设置向导,然后重播一组PCAP&#39> s 网络接口。
$ tcpreplay -i eth0 *.pcap
这将为您提供上面列出的所有内容,但开箱即用:
最后,还有Moloch,一个开源的IPv4完整PCAP捕获,索引和数据库系统。我没有使用过Moloch,但看起来它会解决你的问题。
答案 1 :(得分:1)
有一个工具可以将PCAP文件转换为数据库服务器中的一组关系表。 看看这个: https://code.google.com/p/pcap2sql
问候。