美国军方研究实验室发布了一款超级工具Dshell。官方介绍是Dshellisanetworkforensicanalysisframework(Dshell是网络取证分析框架)。这是美军已经使用了5年的网络战武器。之前在公司做过网络协议的分析,其实国内比较大的公司都在做。一般的方法是在网络边界使用分光器将流量分成两部分。如果流量不大,也可以在路由器上做span。目的是镜像入口流量的副本以供分析。如果只想镜像一台机器的流量就更简单了,方法有很多,这里就不介绍了。有些流量我们需要实时分析出结果,有些流量我们需要保存起来慢慢分析。两种需求分析的方法相同,但各有特点。实时分析比较消耗cpu和内存,所以实时分析的数据尽量少,可以使用最关键的最小值。离线分析需要把数据保存下来慢慢分析,因为网络数据包比较大,存储也需要一定的时间,所以我们需要尽快对保存的数据进行分析,然后释放空间。Dshell官方地址如下:https://github.com/USArmyResearchLab/Dshell可以使用Dshell快速开发的插件,支持网络抓包分析。主要特性:强大的流重组能力支持IPv4和IPv6自定义输出数据链路解码先决条件:Linux(在Ubuntu12.04上开发)Python2.7pygeoip、GNULesserGPLMaxMindGeoIP遗留数据集PyCrypto、自定义许可证dpkt、新BSD许可证IPy、BSD2-ClauseLicensepypcap,NewBSDLicenseInstallation:BasicUsage:UseCase:AnalyzingDNSqueriesintrafficpackets对私人企业用户和学术界有帮助,希望他们能贡献自己的模块来扩展框架的功能。
