logo标签列表

将pcap文件导入数据库

mysqlwiresharkpcap
3

希望有人能帮我解决问题。我手头上有约30个Wireshark / pcap文件,需要分析其中是否存在恶意活动,以及网络是否受到任何形式的攻击。那么如何最好地检索这些文件呢?我的想法是将它们加载到一个数据库中。我知道这些pcap文件在导入数据库之前需要转换为csv格式。

那么,在Microsoft SQL和mySQL之间,哪一种数据库更适合用于导入CSV文件呢?

2个回答
4

我无法回答你关于数据库的具体问题,但我可以就如何分析抓包文件以及如何使用现有的流行解决方案将其存入数据库提供建议。

如果你只需要基于签名的警报,我建议将你的PCAP文件读入到像Snort或Suricata这样的IDS中,并使用Barnyard输出到数据库后端。存在Web前端,如Snorby和Squert,用于搜索和分类警报。 许多流行的IDS引擎都可以轻松读入PCAP文件。

$ snort -r traffic.pcap

如果您只是想像数据一样流动,但需要一些应用层解码,我建议使用Bro输出CSV或其默认的TSV(制表符分隔)格式,这可以轻松存储在数据库中并提供大量信息。
Bro将其解码后的流量写入协议名称的单独日志文件中,例如dns.log、http.log。
$ bro -r traffic.pcap
$ head http.log
1216691479.339424   kfuZwhwI5c6 192.168.1.64    41607   65.175.87.70    80  1   GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif    -   Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko)   0   43  200 OK  -   (empty) -   -   -   image/gif   -   -
$ head dns.log
1216691468.360749   MCshRYLiesf 192.168.1.64    20128   192.168.1.254   53  udp 3217    ssl.google-analytics.com    1   C_INTERNET  NOERROR F   F   T   T   0   ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000
$ head ssl.log
1216691467.672054   NdRPIIlKZaa 192.168.1.64    34050   74.125.19.103   443 TLSv10  TLS_RSA_WITH_RC4_128_SHA    www.google.com  9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687    -   -   -   -   -
$ head files.log
1396403999.886276   FIvzWp1ZUUnNJD9i6   192.168.1.64    65.175.87.70    CtuART1AUxrAifTqd4  HTTP    0   SHA1,MD5    image/jpeg  -   9.956452    F   F   728731  728731  0   0   F   -   8cbf8f2e2713629fcd3ade0965e5e1f9    6ebfa114d86191eecb725c14f98b7c2a24a0cfa0    -

要将输出写入CSV文件,您可以像这样设置Bro的字段分隔符:
$ bro -r day1.pcap 'LogAscii::separator = ",";'
$ head http.log

1216691479.339424,SVZC7821ith,192.168.1.64,41607,65.175.87.70,80,1,GET,e.drugstore.com,/a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif,-,Mozilla/5.0(Macintosh; U; PPC Mac OS X 10_5_4; en-us)AppleWebKit/525.18(KHTML\x2c like Gecko),0,43,200,OK,-,-,-,(空白),-,-,-,image/gif,-,-
在我看来,最终的简单解决方案是在虚拟机中安装SecurityOnion,通过设置向导,并在网络接口上重放PCAP集合。
$ tcpreplay -i eth0 *.pcap

这将为您提供以上所有内容,但具有更多的开箱即用功能:
  1. 使用Snort或Suricata进行IDS分析,储存在MySQL数据库中,并可通过网络前端Squert、Snorby和ELSA进行搜索
  2. Bro日志写入 /nsm/bro/logs 并在 ELSA 前端中可搜索
  3. 会话解码(如适用)和资产信息存储在MySQL数据库中,可通过Sguil进行搜索,并可以钻取到Wireshark或Network Minor以进行更详细的检查。
  4. 使Bro能够从网络流中提取文件进行取证分析
最后,还有 Moloch,这是一个开源的IPv4完整 PCAP 捕获、索引和数据库系统。我没有使用过Moloch,但它看起来可以解决你的问题。
1
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接