CapAnalysis Pcap分析工具:
- CapAnalysis 对 PCAP 文件的数据集进行索引并以多种形式呈现它们的内容,从 TCP、UDP 或 ESP 流/流列表开始,传递到连接的地理表示。
- 对于由一个或多个 PCAP 文件组成的每个数据集,CapAnalysis 收集数据包 UDP 和 TCP 的每个流或流的信息。对于 TCP 流,它能够识别每个方向丢失的字节数,以及从重传数据包计数中删除的交换总字节数。
安装:
docker pull fjacquet/capanalysis
docker run -p 192.168.18.334:9877:9877 -d fjacquet/capanalysis:latest访问 http://192.168.18.134:9877/
使用:
-
设置网站使用的数据库,database 项变绿之后,点击 Go To Capanalysis UI
-
点击 +New 按键 新建一个pcap集合,然后点击Datesets 查看新建集合,点击集合右侧的Files,呈现如图:
-
点击ClICK HERE 上传pcap,一次可上传多个pcap,多个pcap的解析结果也将一同展示
-
还可点击PCAP-Over-Ip 上传pcap包
具体操作过程
sudo tcpdump -i enp0s3 -s 0 -w pcap.pcap -vv
上传方式:
1. cat pcap.pcap | nc 172.17.0.2 30003
2. 选中文件直接上传
解析呈现方式
- 鼠标放在size:19.4m右侧的圆盘呈现如下图:
- 鼠标点击左侧加深的test,会呈现如下流量解析结果:
- 提特征时可排序 Destination Name 和 Duration筛选可用的域名特征进行提取
- Destination Name:域名特征
- Duration:对应访问的持续时间
- 其它结果可对应分析查看
- 右侧工具栏可筛选流量相关信息,这里截图域名 ip相关的筛选框,域名支持模糊搜索相关的所有域名,也有搜索关系 OR AND操作,也有按照协议搜索相关信息的等等
删除pcap集合或者pcap包
相关链接
51cto
github
docker
