2. 질의 응답
  3. 데이터베이스에 pcap 파일 가져 오기

데이터베이스에 pcap 파일 가져 오기

2014-04-02 1 views
2

누군가가 나를 도와 줄 수 있다면 정말 고맙겠습니다. 나는 Wireshark/pcap 파일을 약 30 개 정도 가지고있다. 악성 활동에 대해 분석해야합니다. 네트워크가 어떤 식 으로든 손상되었는지 여부. 파일을 검색하는 가장 좋은 방법은 무엇입니까? 나는 그것들을 데이터베이스에로드하려고 생각하고있었습니다. pcap 파일을 CSV 형식으로 변환해야 데이터베이스로 가져올 수 있다는 것을 알고 있습니다.데이터베이스에 pcap 파일 가져 오기

마이크로 소프트 SQL 또는 MySQL의 사이에 사용하는 더 나은 데이터베이스는 무엇입니까? 기본적으로 어떤 데이터베이스가 CSV 파일을 쉽게 가져올 수 있습니까?

출처

2014-04-02 user695752

답변

3

나는 데이터베이스의 특정 질문에 대한 답변을 드릴 수 없습니다하지만 난 캡처 파일을 분석하는 방법과 기존의 인기있는 솔루션을 사용하여 데이터베이스에 그들을 얻을하는 방법에 대한 조언을 제공 할 수 있습니다.

서명 기반 알림을 원하신다면 PCAP 파일 을 Snort 또는 Barnyard와 같은 IDS로 읽어서 데이터베이스 백엔드로 출력하는 것이 좋습니다. Snorby 및 Squert와 같은 웹 프런트 엔드가있어 경고를 검색하고 분류합니다. 많은 인기있는 IDS 엔진이있는 PCAP 파일에서 읽기 쉽습니다.

$ snort -r traffic.pcap

그냥 데이터처럼 흘러하지만 일부 응용 프로그램 계층 디코딩과 I 출력 CSV에 브로를 사용하여 를 권장하거나 쉽게 데이터베이스에 저장 될 수있는 기본 TSV (탭으로 구분) 형식의과를 제공합니다 많은 정보.

Bro는 디코딩 된 트래픽을 프로토콜 이름의 개별 로그 파일에 씁니다. dns.log, http.log.

$ bro -r day1.pcap 'LogAscii::separator = ",";' 
$ head http.log

1216691479.339424, SVZC7821ith, 192.168.1.64,41607,65.175.87.70,80,1, GET, E : 

$ bro -r traffic.pcap 
$ head http.log 
1216691479.339424 kfuZwhwI5c6 192.168.1.64 41607 65.175.87.70 80 1 GET e.drugstore.com /a/hBIhP7YAbeh5-B7SEoEBNJqOT.AcGxgqbm/spacer.gif - Mozilla/5.0 (Macintosh; U; PPC Mac OS X 10_5_4; en-us) AppleWebKit/525.18 (KHTML, like Gecko) 0 43 200 OK - (empty) - - - image/gif - - 
$ head dns.log 
1216691468.360749 MCshRYLiesf 192.168.1.64 20128 192.168.1.254 53 udp 3217 ssl.google-analytics.com 1 C_INTERNET NOERROR F F T T 0 ssl-google-analytics.l.google.com,209.85.171.97 26636.000000,65.000000 
$ head ssl.log 
1216691467.672054 NdRPIIlKZaa 192.168.1.64 34050 74.125.19.103 443 TLSv10 TLS_RSA_WITH_RC4_128_SHA www.google.com 9fea36dc5f2dc0d7bbfac02cec7595cf130f638a69a671801be670353be0c687 - - - - - 
$ head files.log 
1396403999.886276 FIvzWp1ZUUnNJD9i6 192.168.1.64 65.175.87.70 CtuART1AUxrAifTqd4 HTTP 0 SHA1,MD5 image/jpeg - 9.956452 F F 728731 728731 0 0 F - 8cbf8f2e2713629fcd3ade0965e5e1f9 6ebfa114d86191eecb725c14f98b7c2a24a0cfa0 -

는이 같은 브로의 필드 분리를 설정할 수 있습니다 CSV에 출력을 작성하려면 .drugstore.com,가// hBIhP7YAbeh5 - B7SEoEBNJqOT.AcGxgqbm/spacer.gif, -, 모질라/5.0 (매킨토시; U; PPC 맥 OS X 10_5_4; EN-US) AppleWebKit/525.18 (KHTML \ X2C 게코 등) 0 , 43,200, OK, -, -, -, (공백), -, -, -, 이미지/gif, -, -

궁극 간편한 솔루션 가상 머신에 SecurityOnion을 설치하고 설정 마법사를 실행 한 다음 네트워크 인터페이스 인 에있는 PCAP 세트를 재생합니다. 웹 프론트 엔드를 통해 MySQL 데이터베이스에 저장된 스 노트 또는 Suricata와

  1. IDS 분석 및 검색 :

    $ tcpreplay -i eth0 *.pcap

    은이 상자 밖으로하지만 더 위에 나열된 모든 것을 당신에게 제공 할 것이다 Squert을, Snorby 및 ELSA

  2. /nsm/bro/logs에 기록 된 로그 및 ELSA 프런트 엔드에서 검색 가능한 브로 로그
  3. 디코딩 된 세션 (해당되는 경우) 및 자산 정보는 MySQL 데이터베이스에 저장되고 Sguil을 통해 검색 할 수 있으며 면밀한 조사를 위해 Wireshark 또는 Network Minor에게.네트워크에서 브로 추출 파일을 가지고
  4. 능력은 법의학 분석

에 대한 스트림 그리고 마지막으로, 몰록, 오픈 소스 IPv4의 전체 PCAP 캡처, 인덱싱 및 데이터베이스 시스템이 있습니다. 나는 Moloch를 사용하지 않았지만 문제가 해결 될 것 같습니다.

출처

2014-04-02 02:54:05 jonschipp

 관련 문제

  • 관련 문제 없음^_^