美国军方研究实验室发布了一款超级工具Dshell,官方的介绍是 Dshell is a network forensic analysis framework(Dshell是一个网络取证分析框架),这是美国军方使用了5年的网络战争武器。
分析网络协议这事,我以前在公司也做过,其实国内大一点的公司都在做。一般做法是在在网络边界处用分光器把流量拆分2份,如果流量不大也可以在路由器上做span,目的就是把入口流量镜像一份用于分析,如果只想镜像一个机器的流量就更简单了,方法很多,这里就不介绍了。
有些流量我们需要实时分析并出结果,有些流量我们需要保存慢慢分析,2种需求分析手段是一样的,但是各有特点。实时分析比较消耗cpu和内存,所以实时分析的数据尽可能少,取最关键最小值即可。离线分析需要把数据存下来慢慢分析,因为网络数据包都比较大,存储也是有一定时间要求的,所以我们需要尽快的把存下来的数据分析完然后释放空间。
Dshell的官方地址如下:
https://github.com/USArmyResearchLab/Dshell
可以利用Dshell快速开发的插件去支持网络数据包捕获的分析。
关键特性:
-
强大的流重组能力
-
支持 IPv4 和 IPv6
-
定制输出
-
数据链解码
预备知识:
-
Linux (developed on Ubuntu 12.04)
-
Python 2.7
-
pygeoip, GNU Lesser GPL
-
MaxMind GeoIP Legacy datasets
-
-
PyCrypto, custom license
-
dpkt, New BSD License
-
IPy, BSD 2-Clause License
-
pypcap, New BSD License
安装:
基本用法:
使用案例:
分析流量包里的DNS查询
官方声明开源目的
陆军研究实验室的网络安全部门主任William Glodek在一份声明中表示,他希望该框架对私企用户和学术界有所帮助,并希望他们能够贡献自己的模块来扩展该框架的功能。
