2
如果有人能帮我解决这个问题,我将非常感激。我有一些Wireshark/pcap文件 - 约30个文件。我需要分析他们的恶意活动。网络是否受到任何损害。搜索文件的最佳方式是什么?我正在考虑将它们加载到数据库中。我知道pcap文件在导入数据库之前需要转换为csv格式。将pcap文件导入数据库
在Microsoft SQL或mySQL之间使用什么是更好的数据库?基本上哪个数据库更容易导入CSV文件?
A
回答
3
我无法回答您的数据库特定问题,但我可以提供有关如何分析捕获文件以及如何使用现有流行解决方案将它们引入数据库的建议。
如果您只是喜欢基于签名的警报,我建议您将您的PCAP文件 读入IDS,如Snort或Suricata with Barnyard以输出到数据库后端。 Web前端像Snorby和Squert一样存在,用于搜索和分类警报。 使用许多流行的IDS引擎可以很容易地读取PCAP文件。
$ snort -r traffic.pcap
如果你只是想源源不绝数据,但在一些应用层解码我用弟兄输出CSV建议 或它的默认TSV(制表符分隔)格式,可以很容易地 存储在数据库中,并提供一很多信息。
Bro将其解码流量写入协议名称的单个日志文件,例如, dns.log,http.log。
$ bro -r traffic.pcap
$ head http.log
1216691479.339424 kfuZwhwI5c6 192.168.1.64 41607 65.175.87.70 80 1 GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif - Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko) 0 43 200 OK - (empty) - - - image/gif - -
$ head dns.log
1216691468.360749 MCshRYLiesf 192.168.1.64 20128 192.168.1.254 53 udp 3217 ssl.google-analytics.com 1 C_INTERNET NOERROR F F T T 0 ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000
$ head ssl.log
1216691467.672054 NdRPIIlKZaa 192.168.1.64 34050 74.125.19.103 443 TLSv10 TLS_RSA_WITH_RC4_128_SHA www.google.com 9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687 - - - - -
$ head files.log
1396403999.886276 FIvzWp1ZUUnNJD9i6 192.168.1.64 65.175.87.70 CtuART1AUxrAifTqd4 HTTP 0 SHA1,MD5 image/jpeg - 9.956452 F F 728731 728731 0 0 F - 8cbf8f2e2713629fcd3ade0965e5e1f9 6ebfa114d86191eecb725c14f98b7c2a24a0cfa0 -
要输入输出CSV可以设置兄弟的字段分隔符是这样的:
$ bro -r day1.pcap 'LogAscii::separator = ",";'
$ head http.log
1216691479.339424,SVZC7821ith,192.168.1.64,41607,65.175.87.70,80,1,GET,E Mozilla/5.0(Macintosh; U; PPC Mac OS X 10_5_4; zh-cn)AppleWebKit/525.18(KHTML \ x2c,如Gecko),0 , - , - , - ,(空), - , - , - ,image/gif, - , -
终极easy my op inion将在虚拟机中安装SecurityOnion,通过安装向导,然后重播网络接口上的一组PCAP。通过web前端
- IDS分析Snort的或Suricata,存储在MySQL数据库中,可搜索 :
$ tcpreplay -i eth0 *.pcap这将为您提供以上,但更多的上市开箱一切Squert, Snorby和ELSA
- Bro日志写入/ nsm/bro/logs并可在ELSA前端搜索
- 存储在MySQL数据库中的解码会话(如适用)和资产信息,可通过Sguil搜索并可在Wireshark或Network Minor进行仔细检查。
- 能够从网络上有弟兄提取文件流的取证分析
最后,还有火神,一个开源的IPv4全PCAP捕获,索引和数据库系统。我没有使用Moloch,但它看起来会解决你的问题。
1
有一种工具可将PCAP文件转换为数据库服务器中的一组关系表。 看看这个: https://code.google.com/p/pcap2sql
问候。
相关问题
- 1. 将文本文件导入数据库
- 2. 将大Csv文件导入数据库
- 3. 将CSV文件导入MySQL数据库
- 4. 将XML文件导入PostgreSQL数据库
- 5. 将Amazon S3文件导入数据库
- 6. 导入CSV文件导入数据库
- 7. 将数据包读写到pcap文件
- 8. 如何将文件中的数据导入Redis数据库?
- 9. 将XML文件中的数据导入MySQL数据库
- 10. 将txt文件/数据导入我的mysql数据库
- 11. 将数据从txt文件导入Oracle数据库
- 12. 将Excel文件数据导入Access数据库VBA
- 13. 如何将数据从CSV文件导入数据库
- 14. BCP将文件夹中的所有文件导入数据库
- 15. 将img导入数据库
- 16. 将csv导入数据库
- 17. 将数据库导入magento
- 18. 从sql文件导入数据库
- 19. 导入数据库中的Excel文件
- 20. 导入txt文件到MySQL数据库
- 21. csv文件导入数据库,php
- 22. 导入数据库连接文件
- 23. 导入csv文件到oracle数据库
- 24. 增强csv文件数据库导入
- 25. ASP.NET MVC导入XML文件数据库
- 26. 导入.sql文件到SQLite数据库
- 27. 如何导入SQL数据库文件
- 28. php导入csv文件到数据库
- 29. 通过Rails将数据从SQL文件或Excel文件导入数据库