Linux網絡流量安全審計的神器
作者:入門小站
該工具能夠捕獲網絡流量中的數據包流并將其轉換為系統可以識別的審計記錄。生成的審計記錄可以保存在單獨的硬盤上,也可以通過網絡將結果傳到另外的服務器保存。
介紹
Netcap (NETwork CAPture) 是一個基于命令行的工具,用于對網絡流量進行數據包數據分析。
Netcap:安全和可擴展的網絡流量分析工具
- Netcap 在通過網絡流量收集數據包方面非常有效,數據包可以從離線PCAP-NG或PCAP轉儲文件等輸入源收集,其它數據包可以通過實時界面訪問和收集。
- Netcap 使用 Google 的 Protocol Buffers 對其輸出進行編碼,解析很方便。也可以通過逗號分隔的CSV格式傳輸。為了不讓系統中的數據占用太多空間,Netcap 將其所有數據壓縮為gzip格式_._
- Netcap 可以使用轉儲工具查看可用的審計記錄,net.dump然后將審計記錄轉換為支持的文件格式,例如 CSV 和 JSON。由格式錯誤的數據包導致的日志錯誤記錄在該errors.log部分中。
特點:
- PCAP 和 PCAP-NG 支持
- 支持 USB 捕捉
- 允許實時捕捉
- CLI命令行界面
- 可以從分布式來源收集網絡數據包
- 對取證數據分析非常有用
功能:
- net.capture(實時捕獲審計記錄或從轉儲文件中捕獲)
- net.dump(轉儲各種格式的審計記錄)
- net.label(用于從 netcap 數據創建帶標簽的 CSV 數據集的工具)
- net.collect(分布式收集的收集服務器)
- net.agent(分布式收集的傳感器代理)
- net.proxy(用于從 Web 服務捕獲流量的 http 反向代理)
- net.util(用于驗證審計記錄和轉換時間戳的實用工具)
- net.export(prometheus 指標的導出器)
支持的平臺
- Windows, Linux, OS X
Netcap的安裝
使用Go Get
$ go get -u github.com/dreadl0ck/netcap/...
- 要安裝命令行(使用 Development Build),請運行:
$ go build -o $(go env GOPATH)/bin/netcap -i github.com/dreadl0ck/netcap/cmd
- S使用brew安裝
$ brew tap dreadl0ck/formulas
$ brew install netcap
- 安裝Netcap后,執行如下命令檢查所有單元是否正常運行:
$ go test -v -bench=. ./...
Netcap使用
/ |
_______ ______ _10 |_ _______ ______ ______
/ / \\ / / \\ / 01/ | / / | / / \\ / / \\
0010100 /|/011010 /|101010/ /0101010/ 001010 |/100110 |
01 | 00 |00 00 | 10 | __ 00 | / 10 |00 | 01 |
10 | 01 |01001010/ 00 |/ |01 \\_____ /0101000 |00 |__10/|
10 | 00 |00/ / | 10 00/ 00/ / |00 00 |00/ 00/
00/ 10/ 0101000/ 0010/ 0010010/ 0010100/ 1010100/
00 |
Network Protocol Analysis Framework 00 |
created by Philipp Mieden, 2018 00/
v5
+---------------+--------+
| Setting | Value |
+---------------+--------+
| Workers | 1000 |
| MemBuffer | true |
| Compression | true |
| PacketBuffer | 100 |
+---------------+--------+
spawned 1000 workers
initialized 29 layer encoders | buffer size: 4096
initialized 7 custom encoders | buffer size: 4096
running since 535785474s, captured 13000 packets…
- 要查看 Netcap 所支持的所有編碼器,加上–encoders參數,根據你要執行的操作,你可以使用這些標志來排除-exclude或包含-include編碼器 。
例子:
- 從網卡讀取流量:
$ net.capture -iface eth0
- 使用 Ctrl-C (SIGINT) 停止捕獲。
- PCAP 從和PCAP-NG轉儲文件中讀取流量:
$ net.capture -r traffic.pcap
- 讀取轉儲文件并打印stdout 為 csv格式
$ net.dump -r TCP.ncap.gz
- 將 CSV 輸出保存到文件:
$ net.dump -r TCP.ncap.gz -select Timestamp,SrcPort,DstPort > tcp.csv
展示
- 還可以通過grafana實時展示網絡數據
責任編輯:龐桂玉
來源:
Linux學習
