Netcap:安全和可扩展的网络流量分析工具
介绍
Netcap (NETwork CAPture) 是一个基于命令行的工具,用于对网络流量进行数据包数据分析,该工具能够捕获网络流量中的数据包流并将其转换为系统可以识别的审计记录。生成的审计记录可以保存在单独的硬盘上,也可以通过网络将结果传到另外的服务器保存。
Netcap:安全和可扩展的网络流量分析工具
Netcap 在通过网络流量收集数据包方面非常有效,数据包可以从离线PCAP-NG或PCAP转储文件等输入源收集,其它数据包可以通过实时界面访问和收集。
Netcap 使用 Google 的 Protocol Buffers 对其输出进行编码,解析很方便。也可以通过逗号分隔的CSV格式传输。为了不让系统中的数据占用太多空间,Netcap 将其所有数据压缩为gzip格式_._
Netcap 可以使用转储工具查看可用的审计记录,net.dump然后将审计记录转换为支持的文件格式,例如 CSV 和 JSON。由格式错误的数据包导致的日志错误记录在该errors.log部分中。
特点:
PCAP 和 PCAP-NG 支持
支持 USB 捕捉
允许实时捕捉
CLI命令行界面
可以从分布式来源收集网络数据包
对取证数据分析非常有用
功能:
net.capture(实时捕获审计记录或从转储文件中捕获)
net.dump(转储各种格式的审计记录)
net.label(用于从 netcap 数据创建带标签的 CSV 数据集的工具)
net.collect(分布式收集的收集服务器)
net.agent(分布式收集的传感器代理)
net.proxy(用于从 Web 服务捕获流量的 http 反向代理)
net.util(用于验证审计记录和转换时间戳的实用工具)
net.export(prometheus 指标的导出器)
支持的平台
Windows, Linux, OS X
Netcap的安装
使用Go Get
$goget-ugithub.com/dreadl0ck/netcap/...
要安装命令行(使用 Development Build),请运行:
$gobuild-o$(goenvGOPATH)/bin/netcap-igithub.com/dreadl0ck/netcap/cmd
MacOS使用brew安装
$brewtapdreadl0ck/formulas $brewinstallnetcap
安装Netcap后,执行如下命令检查所有单元是否正常运行:
$gotest-v-bench=../...
Netcap使用
/| ______________10|____________________ //\//\/01/|//|//\//\ 0010100/|/011010/|101010//0101010/001010|/100110| 01|00|0000|10|__00|/10|00|01| 10|01|01001010/00|/|01\_____/0101000|00|__10/| 10|00|00//|1000/00//|0000|00/00/ 00/10/0101000/0010/0010010/0010100/1010100/ 00| NetworkProtocolAnalysisFramework00| createdbyPhilippMieden,201800/ v5 +---------------+--------+ |Setting|Value| +---------------+--------+ |Workers|1000| |MemBuffer|true| |Compression|true| |PacketBuffer|100| +---------------+--------+ spawned1000workers initialized29layerencoders|buffersize:4096 initialized7customencoders|buffersize:4096 runningsince535785474s,captured13000packets…
要查看 Netcap 所支持的所有编码器,加上–encoders参数,根据你要执行的操作,你可以使用这些标志来排除-exclude或包含-include编码器 。
例子:
从网卡读取流量:
$net.capture-ifaceeth0
使用 Ctrl-C (SIGINT) 停止捕获。
PCAP从和PCAP-NG转储文件中读取流量:
$net.capture-rtraffic.pcap
读取转储文件并打印stdout为csv格式
$net.dump-rTCP.ncap.gz
将 CSV 输出保存到文件:
$net.dump-rTCP.ncap.gz-selectTimestamp,SrcPort,DstPort>tcp.csv
展示
还可以通过grafana实时展示网络数据
-
网络流量
+关注
关注
0文章
58浏览量
10362 -
PCAP
+关注
关注
0文章
12浏览量
12611 -
分析工具
+关注
关注
0文章
28浏览量
5080
原文标题:Linux网络流量安全审计的神器
文章出处:【微信号:良许Linux,微信公众号:良许Linux】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
运营商将能够应对网络流量的增长
分布式网络流量监测
网络流量测量的研究与实现
基于Netflow的流量分析技术研究
基于Netfilter内核态网络流量分析研究
网络流量时序数据可视分析
IP网络流量矩阵估计方法
工商网监
评论