Analizar pcap sobre la marcha [cerrado]

0

Quiero crear una mini red de rastreo. Pregunté en una pregunta anterior acerca de cómo capturar y descifrar paquetes en tiempo real.

Ahora quiero analizarlo, y estoy desarrollando un script para él, pero ¿puedo hacerlo sobre la marcha? Al igual que cuando dumpcap se está ejecutando y está escribiendo en un archivo, ¿puedo leerlo al mismo tiempo y analizar nuevos paquetes adjuntos? ¿O hay una mejor manera de oler y analizar al mismo tiempo?

Usaré dos frambuesas pi 2. Uno para rastrear y guardar pcaps y otro para leer, analizar y llenar una base de datos con información extraída.

    
pregunta Adrian Rudy Dacka 31.08.2018 - 07:16
fuente

2 respuestas

2

Como la documentación para dumpcap puede simplemente escribir en stdout, es decir, dumpcap -w - . Luego, puedes poner lo que quieras después de esto, es decir, algo como

 dumpcap -w - | your-own-analysis    # analyze it directly
 dumpcap -w - | nc ip port           # send for analysis to some remote system
    
respondido por el Steffen Ullrich 31.08.2018 - 07:35
fuente
2

Si quieres analizar el tráfico de la red y hazlo tú mismo para probar tus habilidades de programación (leí que en otro comentario), puedes elegir un lenguaje de programación y usar libpcap o bibliotecas similares para obtener Acceso al tráfico de la red.

  • python tiene al menos scappy y pypcap para leer el tráfico de la red y hacer "cosas".
  • en C puedes usar libpcap.
  • con java tienes jNetPcap.
  • con C # tienes PcapDotNet.
  • con go puedes usar gopacket.

Estoy casi seguro de que otros lenguajes de programación tendrán sus propias bibliotecas o se ajustarán a libpcap .

    
respondido por el Hugo Glez 31.08.2018 - 16:49
fuente

Lea otras preguntas en las etiquetas