流量分析
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
六种常用的网络流量特征提取工具 ArkTeam认证作者专栏作者2017-03-03共773617人围观 ,发现 14 个不明物体 工具网络安全
在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段。下面,本文为大家介绍几款常用的网络流量特征提取的工具。
一、WireShark
WireShark是一款常见的网络数据包分析工具。该软件可以在线截取各种网络封包,显示网络封包的详细信息,也可分析已有的报文数据,如由 tcpdump/Win Dump、WireShark 等采集的报文数据。WireShark 提供多种过滤规则,进行报文过滤。使用者可借助该工具的分析功能,获取多种网络数据特征。
1.png
下载地址:https://www.wireshark.org/
二、Tcptrace
Tcptrace是一款分析TCP流量数据文件的工具,它的输入包括多种的基于报文采集程序输出的文件,如tcpdump,snoop,etherpeek,HPNet Metrix和WinDump。使用Tcptrace可以获得每个通信连接的各种信息,包括:持续时间,字节数,发送和接收的片段,重传,往返时间等,也可以生成许多图形,用于使用者的后续分析。
2.png
下载地址:http://www.tcptrace.org/index.shtml
三、QPA
QPA是一款开源的基于进程抓包的实时流量分析软件。其基于进程抓包的优势,能够实时准确判定每个包所属进程,基于正则表达式书写规则,能提取IP、端口、报文长度与内容等维度特征;QPA按流量类型自动归类,分析简便,优于基于一条条会话的分析模式。
3.png
下载地址:http://git.oschina.net/qielige/openQPA
四、Tstat
Tstat是在第三款软件Tcptrace的基础上进一步开发而来,可以在普通 PC 硬件或者数据采集卡进行在线的报文数据采集。除此之外,Tstat 还可分析已有的数据报文,支持各种dump格式,如 libpcap 库支持的格式等。双向的 TCP 流分析可得到新的统计特征,如阻塞窗口大小、乱序片段等,这些信息在服务器和客户端有所区分,还可区分内网主机和外网主机。
4.png
Tstat分析网络流量并生成三种不同类型的测量集合:直方图,轮循调度数据库和日志文件。
5.png6.png
Tstat支持在Linux系统(目前为Ubuntu,Debian,RedHat和CentOS)和Mac OS X(从10.6 Snow Leopard到目前的10.11 El Capitan)上测试。
下载网址:http://tstat.tlc.polito.it/
五、 CapAnalysis
CapAnalysis是一款有效的网络流量分析工具,适用于信息安全专家,系统管理员和其他需要分析大量已捕获网络流量的人员。CapAnalysis通过索引PCAP文件的数据集,执行并将其内容以多种形式转化,从包含TCP,UDP或ESP流的列表,到将其连接以地理图形的方式表示出来。可安装部署到debian32/64位,Ubuntu32/64位系统。
7.png
下载地址: http://www.capanalysis.net/ca/
六、Xplico
Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。解码控制器,IP/网络解码器,程序集和可视化系统构成了一个完整的Xplico系统。该系统支持对HTTP,SIP,IMAP,POP,SMTP,TCP,UDP,IPv6等协议的分析。
8.png
下载地址:http://www.xplico.org/archives/14
如下是这七种工具在功能和使用方面的比较,大家可根据工具的特点,将这些工具应用于实际分析中。
功能对比 WireShark Tcptrace QPA Tstat CapAnalysis Xplico
可分析离线报文 √ √ √ √ √ √
支持实时数据处理 √ × √ √ × √
流量可视分析 √ √ × √ √ √
可查看内容特征 √ √ √ √ √ √
可标识目标IP的地理位置 × × × × √ √
监控特定媒体流量 × × √ √ × √
过滤报文功能 √ √ √ √ √ √
界面风格 窗口应用 命令行界面 窗口应用 Web Web Web
实时数据采集源 PC 硬件或者数据采集卡 × 基于进程 PC 硬件或者数据采集卡 × PC 硬件或者数据采集卡
运行环境 Windows/Linux Linux Windows Linux/Mac OS/Android Linux Linux
参考文献
[1] http://www.capanalysis.net/ca/
[2] http://www.xplico.org/archives/1472
[3] http://www.doc88.com/p-4971548572002.html
[4] http://git.oschina.net/qielige/openQPA
*本文原创作者:ArkTeam/mureloy,本文属FreeBuf原创奖励计划,未经许可禁止转载
ArkTeam
ArkTeam
37 篇文章
等级: 6级
||
上一篇:一款国产Nmap在线扫描系统下一篇:Trustwave:中国制GSM语音网关存在Root权限后门
发表评论已有 14 条评论
dabang007 (1级) 2017-03-03回复 1楼
学习了 :)
亮了(0)
6666666666666 2017-03-03回复 2楼
WireShark 表示不服,大OS版让你吃了
亮了(0)
lupus721 (3级) 2017-03-03回复 3楼
openQPA已经一年多没有动静了。。win10 会自动退出
亮了(0)
openQPA (1级) 2018-07-03回复
@ lupus721 win10问题可联系QQ327909056截图反馈或者试试最新版本,QPA官网http://www.l7dpi.com/
亮了(1)
夜尽天明 (6级) 千秋邈矣独留我,百战归来再读书 2017-03-03回复 4楼
:sad: 很难一眼看出到底传的是什么流量啊
亮了(0)
moloch 2017-03-03回复 5楼
moloch
亮了(0)
netmiko 2017-08-28回复
@ moloch 这个用的咋样
亮了(0)
medcl 2017-03-04回复 6楼
用开源的packetbeat也可以哈
亮了(0)
netmiko 2017-08-23回复
@ medcl packetbeat 感觉抓的不够详细。
亮了(0)
April1774 2017-03-05回复 7楼
头像是什么鬼
亮了(0)
JINN 2017-03-09回复 8楼
Microsoft Network Monitor
亮了(0)
zoonctrl (6级) 该怎么做好信息安全? 2017-03-09回复 9楼
前面的几个工具还算熟悉,后面有一个不知道。
亮了(1)
Mirage_WinterSun 2017-03-12回复 10楼
不是很好看嘛~哈哈哈哈哈哈
亮了(0)
doom95 2017-03-19回复 11楼
转发微博
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
ArkTeam
ArkTeam认证作者专栏作者
Ark团队官方账号
37
文章数
0
评论数
最近文章
企业通讯工具Slack
2017.09.26
初识PowerShell
2017.09.25
浅谈僵尸网络利器:Fast-flux技术
2017.06.10
浏览更多
相关阅读
跨平台网站安全检测工具Cobra构建一个高交互型的难以发现的蜜罐iOSSecAudit:一个iOS APP安全审计工具Web表单破解工具 – Brute Forcer v1.1入侵检测系统 Snort 2.9.2.3 发布
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论