介紹

Netcap (NETwork CAPture) 是一個(gè)基于命令行的工具，用于對(duì)網(wǎng)絡(luò)流量進(jìn)行數(shù)據(jù)包數(shù)據(jù)分析，該工具能夠捕獲網(wǎng)絡(luò)流量中的數(shù)據(jù)包流并將其轉(zhuǎn)換為系統(tǒng)可以識(shí)別的審計(jì)記錄。生成的審計(jì)記錄可以保存在單獨(dú)的硬盤上,也可以通過(guò)網(wǎng)絡(luò)將結(jié)果傳到另外的服務(wù)器保存。

Netcap:安全和可擴(kuò)展的網(wǎng)絡(luò)流量分析工具

Netcap 在通過(guò)網(wǎng)絡(luò)流量收集數(shù)據(jù)包方面非常有效，數(shù)據(jù)包可以從離線PCAP-NG或PCAP轉(zhuǎn)儲(chǔ)文件等輸入源收集，其它數(shù)據(jù)包可以通過(guò)實(shí)時(shí)界面訪問和收集。

Netcap 使用 Google 的 Protocol Buffers 對(duì)其輸出進(jìn)行編碼,解析很方便。也可以通過(guò)逗號(hào)分隔的CSV格式傳輸。為了不讓系統(tǒng)中的數(shù)據(jù)占用太多空間，Netcap 將其所有數(shù)據(jù)壓縮為gzip格式_._

Netcap 可以使用轉(zhuǎn)儲(chǔ)工具查看可用的審計(jì)記錄，net.dump然后將審計(jì)記錄轉(zhuǎn)換為支持的文件格式，例如 CSV 和 JSON。由格式錯(cuò)誤的數(shù)據(jù)包導(dǎo)致的日志錯(cuò)誤記錄在該errors.log部分中。

特點(diǎn)：

PCAP 和 PCAP-NG 支持

支持 USB 捕捉

允許實(shí)時(shí)捕捉

CLI命令行界面

可以從分布式來(lái)源收集網(wǎng)絡(luò)數(shù)據(jù)包

對(duì)取證數(shù)據(jù)分析非常有用

功能：

net.capture(實(shí)時(shí)捕獲審計(jì)記錄或從轉(zhuǎn)儲(chǔ)文件中捕獲)

net.dump(轉(zhuǎn)儲(chǔ)各種格式的審計(jì)記錄)

net.label(用于從 netcap 數(shù)據(jù)創(chuàng)建帶標(biāo)簽的 CSV 數(shù)據(jù)集的工具)

net.collect(分布式收集的收集服務(wù)器)

net.agent(分布式收集的傳感器代理)

net.proxy(用于從 Web 服務(wù)捕獲流量的 http 反向代理)

net.util(用于驗(yàn)證審計(jì)記錄和轉(zhuǎn)換時(shí)間戳的實(shí)用工具)

net.export(prometheus 指標(biāo)的導(dǎo)出器)

支持的平臺(tái)

Windows, Linux, OS X

Netcap的安裝

使用Go Get

$goget-ugithub.com/dreadl0ck/netcap/...

要安裝命令行(使用 Development Build),請(qǐng)運(yùn)行:

$gobuild-o$(goenvGOPATH)/bin/netcap-igithub.com/dreadl0ck/netcap/cmd

MacOS使用brew安裝

$brewtapdreadl0ck/formulas
$brewinstallnetcap

安裝Netcap后,執(zhí)行如下命令檢查所有單元是否正常運(yùn)行：

$gotest-v-bench=../...

Netcap使用

/|
______________10|____________________
//\//\/01/|//|//\//\
0010100/|/011010/|101010//0101010/001010|/100110|
01|00|0000|10|__00|/10|00|01|
10|01|01001010/00|/|01\_____/0101000|00|__10/|
10|00|00//|1000/00//|0000|00/00/
00/10/0101000/0010/0010010/0010100/1010100/
00|
NetworkProtocolAnalysisFramework00|
createdbyPhilippMieden,201800/
v5

+---------------+--------+
|Setting|Value|
+---------------+--------+
|Workers|1000|
|MemBuffer|true|
|Compression|true|
|PacketBuffer|100|
+---------------+--------+
spawned1000workers
initialized29layerencoders|buffersize:4096
initialized7customencoders|buffersize:4096
runningsince535785474s,captured13000packets…

要查看 Netcap 所支持的所有編碼器，加上–encoders參數(shù)，根據(jù)你要執(zhí)行的操作，你可以使用這些標(biāo)志來(lái)排除-exclude或包含-include編碼器 。

例子：

從網(wǎng)卡讀取流量：

$net.capture-ifaceeth0

使用 Ctrl-C (SIGINT) 停止捕獲。

PCAP從和PCAP-NG轉(zhuǎn)儲(chǔ)文件中讀取流量:

$net.capture-rtraffic.pcap

讀取轉(zhuǎn)儲(chǔ)文件并打印stdout為csv格式

$net.dump-rTCP.ncap.gz

將 CSV 輸出保存到文件：

$net.dump-rTCP.ncap.gz-selectTimestamp,SrcPort,DstPort>tcp.csv

展示

還可以通過(guò)grafana實(shí)時(shí)展示網(wǎng)絡(luò)數(shù)據(jù)