如果有人能帮我解决这个问题,我将非常感激。我有一些Wireshark/pcap文件 - 约30个文件。我需要分析他们的恶意活动。网络是否受到任何损害。搜索文件的最佳方式是什么?我正在考虑将它们加载到数据库中。我知道pcap文件在导入数据库之前需要转换为csv格式。将pcap文件导入数据库
在Microsoft SQL或mySQL之间使用什么是更好的数据库?基本上哪个数据库更容易导入CSV文件?
如果有人能帮我解决这个问题,我将非常感激。我有一些Wireshark/pcap文件 - 约30个文件。我需要分析他们的恶意活动。网络是否受到任何损害。搜索文件的最佳方式是什么?我正在考虑将它们加载到数据库中。我知道pcap文件在导入数据库之前需要转换为csv格式。将pcap文件导入数据库
在Microsoft SQL或mySQL之间使用什么是更好的数据库?基本上哪个数据库更容易导入CSV文件?
我无法回答您的数据库特定问题,但我可以提供有关如何分析捕获文件以及如何使用现有流行解决方案将它们引入数据库的建议。
如果您只是喜欢基于签名的警报,我建议您将您的PCAP文件 读入IDS,如Snort或Suricata with Barnyard以输出到数据库后端。 Web前端像Snorby和Squert一样存在,用于搜索和分类警报。 使用许多流行的IDS引擎可以很容易地读取PCAP文件。
$ snort -r traffic.pcap
如果你只是想源源不绝数据,但在一些应用层解码我用弟兄输出CSV建议 或它的默认TSV(制表符分隔)格式,可以很容易地 存储在数据库中,并提供一很多信息。
Bro将其解码流量写入协议名称的单个日志文件,例如, dns.log,http.log。
$ bro -r traffic.pcap
$ head http.log
1216691479.339424 kfuZwhwI5c6 192.168.1.64 41607 65.175.87.70 80 1 GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif - Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko) 0 43 200 OK - (empty) - - - image/gif - -
$ head dns.log
1216691468.360749 MCshRYLiesf 192.168.1.64 20128 192.168.1.254 53 udp 3217 ssl.google-analytics.com 1 C_INTERNET NOERROR F F T T 0 ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000
$ head ssl.log
1216691467.672054 NdRPIIlKZaa 192.168.1.64 34050 74.125.19.103 443 TLSv10 TLS_RSA_WITH_RC4_128_SHA www.google.com 9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687 - - - - -
$ head files.log
1396403999.886276 FIvzWp1ZUUnNJD9i6 192.168.1.64 65.175.87.70 CtuART1AUxrAifTqd4 HTTP 0 SHA1,MD5 image/jpeg - 9.956452 F F 728731 728731 0 0 F - 8cbf8f2e2713629fcd3ade0965e5e1f9 6ebfa114d86191eecb725c14f98b7c2a24a0cfa0 -
要输入输出CSV可以设置兄弟的字段分隔符是这样的:
$ bro -r day1.pcap 'LogAscii::separator = ",";'
$ head http.log
1216691479.339424,SVZC7821ith,192.168.1.64,41607,65.175.87.70,80,1,GET,E Mozilla/5.0(Macintosh; U; PPC Mac OS X 10_5_4; zh-cn)AppleWebKit/525.18(KHTML \ x2c,如Gecko),0 , - , - , - ,(空), - , - , - ,image/gif, - , -
终极easy my op inion将在虚拟机中安装SecurityOnion,通过安装向导,然后重播网络接口上的一组PCAP。通过web前端
$ tcpreplay -i eth0 *.pcap
这将为您提供以上,但更多的上市开箱一切Squert, Snorby和ELSA
最后,还有火神,一个开源的IPv4全PCAP捕获,索引和数据库系统。我没有使用Moloch,但它看起来会解决你的问题。
有一种工具可将PCAP文件转换为数据库服务器中的一组关系表。 看看这个: https://code.google.com/p/pcap2sql
问候。