Analizzando pcap al volo [chiuso]

0

Voglio creare una mini rete di sniffing. Ho chiesto in una domanda precedente su come acquisire e decrittografare i pacchetti in tempo reale.

Ora voglio analizzarlo e sto sviluppando uno script per questo, ma posso farlo al volo? Come quando dumpcap è in esecuzione e si scrive su file posso leggerlo allo stesso tempo e analizzare i nuovi pacchetti aggiunti? O c'è un modo migliore di sniffare e analizzare allo stesso tempo?

Userò due raspberry pi 2's. Uno per sniffare e salvare i pcap e altri per leggere, analizzare e popolare un database con informazioni estratte.

    
posta Adrian Rudy Dacka 31.08.2018 - 07:16
fonte

2 risposte

2

Poiché la documentazione per dumpcap mostra che puoi semplicemente scrivere su stdout, ovvero dumpcap -w - . Quindi puoi mettere quello che vuoi dopo questo, cioè qualcosa come

 dumpcap -w - | your-own-analysis    # analyze it directly
 dumpcap -w - | nc ip port           # send for analysis to some remote system
    
risposta data 31.08.2018 - 07:35
fonte
2

Se vuoi analizzare il traffico di rete e fai da te per testare le tue capacità di programmazione (l'ho letto in altri commenti), puoi scegliere un linguaggio di programmazione e usare libpcap o librerie simili per ottenere accesso al traffico di rete.

  • python ha almeno scappy e pypcap per leggere il traffico di rete e fare '' stuff ''.
  • in C puoi usare libpcap.
  • con java hai jNetPcap.
  • con C # hai PcapDotNet.
  • con go puoi usare gopacket.

Sono quasi sicuro che altri linguaggi di programmazione disporranno di proprie librerie o avvolgeranno libpcap .

    
risposta data 31.08.2018 - 16:49
fonte

Leggi altre domande sui tag