介绍Netcap(NETworkCAPture)是一款基于命令行的网络流量包数据分析工具。Netcap:安全且可扩展的网络流量分析工具Netcap在通过网络流量收集数据包方面非常有效。数据包可以从离线PCAP-NG或PCAP转储文件等输入源收集,其他数据包可以通过实时接口访问并收集。Netcap使用Google的ProtocolBuffers对其输出进行编码,解析起来非常方便。它也可以以逗号分隔的CSV格式传输。为了不让系统中的数据占用过多的空间,Netcap将其所有数据压缩成gzip格式_._Netcap可以使用dump工具查看可用的审计记录,net.dump然后将审计记录转换成支持的格式文件格式,示例包括CSV和JSON。由格式错误的数据包引起的日志错误记录在errors.log部分。特点:PCAP和PCAP-NG支持支持USB捕获允许实时捕获CLI命令行界面可以从分布式源收集网络数据包对法医数据分析很有用特点:net.capture(实时或从转储文件捕获审计记录)net.dump(转储各种格式的审计记录)net.label(用于从netcap数据创建带标签的CSV数据集的工具)net.collect(用于分布式收集的收集服务器)net.agent(分布式收集传感器代理)net.proxy(http反向代理用于从Web服务捕获流量)net.util(用于验证审计记录和转换时间戳的实用程序)net.export(prometheus指标的导出器)支持平台Windows、Linux、OSXNetcap使用GoGet安装$goget-ugithub.com/dreadl0ck/netcap/…要从命令行安装(使用DevelopmentBuild),运行:$gobuild-o$(goenvGOPATH)/bin/netcap-igithub.com/dreadl0ck/netcap/cmdS使用brew安装$brewtapdreadl0ck/formulas$brewinstallnetcap安装Netcap后,执行以下命令检查所有单元是否正常运行:$gotest-v-bench=../...Netcap使用/|______________10|____________________//\\//\\/01/|//|//\\//\\0010100/|/011010/|101010//0101010/001010|/100110|01|00|0000|10|__00|/10|00|01|10|__10/|10|00|00//|1000/00//|0000|00/00/00/10/0101000/0010/0010010/0010100/1010100/00|网络协议分析框架00|由PhilippMieden创建,2018年00/v5+--------------+--------+|设置|价值|+----------------+--------+|工人|1000||内存缓冲区|真||压缩|真||数据包缓冲区|100|+----------------+--------+spawned1000workers初始化29层编码器|缓冲区大小:4096已初始化7个自定义编码器|缓冲区大小:4096自535785474s以来运行,捕获了13000个数据包......要查看Netcap支持的所有编码器,请添加--encoders参数。根据您想要执行的操作,您可以使用这些标志来排除或包含编码器。示例:从网卡读取流量:$net.capture-ifaceeth0使用Ctrl-C(SIGINT)停止捕获。PCAP从PCAP-NG转储文件中读取流量:$net.capture-rtraffic.pcap读取转储文件并将标准输出打印为csv格式$net.dump-rTCP.ncap.gz将CSV输出保存到文件:$net.dump-rTCP.ncap.gz-selectTimestamp,SrcPort,DstPort>tcp.csv显示也可以通过grafana实时显示网络数据
