Linux網(wǎng)絡(luò)流量安全審計(jì)

Linux網(wǎng)絡(luò)流量安全審計(jì)

我從cnaaa.com購(gòu)買(mǎi)了服務(wù)器。

介紹

Netcap (NETwork CAPture) 是一個(gè)基于命令行的工具,用于對(duì)網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)包數(shù)據(jù)分析,該工具能夠捕獲網(wǎng)絡(luò)流量中的數(shù)據(jù)包流并將其轉(zhuǎn)換為系統(tǒng)可以識(shí)別的審計(jì)記錄。生成的審計(jì)記錄可以保存在單獨(dú)的硬盤(pán)上,也可以通過(guò)網(wǎng)絡(luò)將結(jié)果傳到另外的服務(wù)器保存。

Netcap:安全和可擴(kuò)展的網(wǎng)絡(luò)流量分析工具

Netcap 在通過(guò)網(wǎng)絡(luò)流量收集數(shù)據(jù)包方面非常有效,數(shù)據(jù)包可以從離線PCAP-NGPCAP轉(zhuǎn)儲(chǔ)文件等輸入源收集,其它數(shù)據(jù)包可以通過(guò)實(shí)時(shí)界面訪問(wèn)和收集。

Netcap 使用 Google 的 Protocol Buffers 對(duì)其輸出進(jìn)行編碼,解析很方便。也可以通過(guò)逗號(hào)分隔的CSV格式傳輸。為了不讓系統(tǒng)中的數(shù)據(jù)占用太多空間,Netcap 將其所有數(shù)據(jù)壓縮為gzip格式.

Netcap 可以使用轉(zhuǎn)儲(chǔ)工具查看可用的審計(jì)記錄,net.dump然后將審計(jì)記錄轉(zhuǎn)換為支持的文件格式,例如 CSV 和 JSON。由格式錯(cuò)誤的數(shù)據(jù)包導(dǎo)致的日志錯(cuò)誤記錄在該errors.log部分中。

特點(diǎn):

  • PCAP 和 PCAP-NG 支持
  • 支持 USB 捕捉
  • 允許實(shí)時(shí)捕捉
  • CLI命令行界面
  • 可以從分布式來(lái)源收集網(wǎng)絡(luò)數(shù)據(jù)包
  • 對(duì)取證數(shù)據(jù)分析非常有用

功能:

  • net.capture(實(shí)時(shí)捕獲審計(jì)記錄或從轉(zhuǎn)儲(chǔ)文件中捕獲)
  • net.dump(轉(zhuǎn)儲(chǔ)各種格式的審計(jì)記錄)
  • net.label(用于從 netcap 數(shù)據(jù)創(chuàng)建帶標(biāo)簽的 CSV 數(shù)據(jù)集的工具)
  • net.collect(分布式收集的收集服務(wù)器)
  • net.agent(分布式收集的傳感器代理)
  • net.proxy(用于從 Web 服務(wù)捕獲流量的 http 反向代理)
  • net.util(用于驗(yàn)證審計(jì)記錄和轉(zhuǎn)換時(shí)間戳的實(shí)用工具)
  • net.export(prometheus 指標(biāo)的導(dǎo)出器)

支持的平臺(tái)

Windows, Linux, OS X

Netcap的安裝

使用****Go Get

$ go get -u github.com/dreadl0ck/netcap/...

要安裝命令行(使用 Development Build),請(qǐng)運(yùn)行:

$ go build -o $(go env GOPATH)/bin/netcap -i github.com/dreadl0ck/netcap/cmd

MacOS使用brew安裝

$ brew tap dreadl0ck/formulas  
$ brew install netcap

安裝Netcap后,執(zhí)行如下命令檢查所有單元是否正常運(yùn)行:

$ go test -v -bench=. ./...

Netcap使用

/ |  
 _______    ______   _10 |_     _______   ______    ______
/     / \\  /    / \\ / 01/  |   /     / | /    / \\  /    / \\
0010100 /|/011010 /|101010/   /0101010/  001010  |/100110  |
01 |  00 |00    00 |  10 | __ 00 |       /    10 |00 |  01 |
10 |  01 |01001010/   00 |/  |01 \\_____ /0101000 |00 |__10/|
10 |  00 |00/    / |  10  00/ 00/    / |00    00 |00/   00/
00/   10/  0101000/    0010/   0010010/  0010100/ 1010100/
                                                  00 |
Network Protocol Analysis Framework               00 |
created by Philipp Mieden, 2018                   00/
v5

 +---------------+--------+                                                                                                                                                                                                             
 |   Setting     | Value  |                                                                                                                                                                                                             
 +---------------+--------+                                                                                                                                                                                                             
 | Workers       | 1000   |                                                                                                                                                                                                             
 | MemBuffer     | true   |                                                                                                                                                                                                             
 | Compression   | true   |                                                                                                                                                                                                             
 | PacketBuffer  | 100    |                                                                                                                                                                                                             
 +---------------+--------+                                                                                                                                                                                                             
 spawned 1000 workers                                                                                                                                                                                                                   
 initialized 29 layer encoders | buffer size: 4096                                                                                                                                                                                      
 initialized 7 custom encoders | buffer size: 4096                                                                                                                                                                                      
 running since 535785474s, captured 13000 packets…

要查看 Netcap 所支持的所有編碼器,加上–encoders參數(shù),根據(jù)你要執(zhí)行的操作,你可以使用這些標(biāo)志來(lái)排除-exclude或包含-include編碼器 。

例子:

從網(wǎng)卡讀取流量:

$ net.capture -iface eth0
  • 使用 Ctrl-C (SIGINT) 停止捕獲。

PCAP 從和PCAP-NG轉(zhuǎn)儲(chǔ)文件中讀取流量:

$ net.capture -r traffic.pcap

讀取轉(zhuǎn)儲(chǔ)文件并打印stdoutcsv格式

$ net.dump -r TCP.ncap.gz

將 CSV 輸出保存到文件:

$ net.dump -r TCP.ncap.gz -select Timestamp,SrcPort,DstPort > tcp.csv

展示

還可以通過(guò)grafana實(shí)時(shí)展示網(wǎng)絡(luò)數(shù)據(jù)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容