Como separar o PCAP pelo endereço IP exclusivo

Navegue suas respostas
3

Eu tenho um arquivo PCAP de uma hora que tem cerca de 60 ataques de rede individuais feitos em nossa rede de teste aqui no trabalho. Cada ataque vem de um endereço IP exclusivo que não foi usado em outro lugar durante a hora.

Gostaria de fazer 60 pcaps desse arquivo, mas também incluir o tráfego em segundo plano.

Não há um padrão real para quando os ataques ocorrem (ou seja, pode haver 6 no primeiro minuto e, em seguida, 1 pode ser executado pelos próximos 10 minutos).

Eu posso separar em arquivos que capturam o ataque, mas estou realmente interessado em ter o tráfego em segundo plano também.

Para esclarecer meu motivo para precisar disso, estou usando esses dados para tentar treinar um sensor de rede baseado em aprendizado de máquina.

    
por Evan 30.04.2012 / 19:15

3 respostas

4

Supondo que você tenha a lista de IPs de ataque em um arquivo chamado attack-ips , o despejo bruto em capture.pcap e que o intervalo de ataque seja 1.0.0.0/24, o script a seguir usando tcpdump deve realizar isso : 

while read ATTACKIP; do
    tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips

O filtro seleciona o tráfego que é para ou do IP de ataque, ou nem para o intervalo de ataque (para excluir todos os outros IPs de ataque).

    
por 01.05.2012 / 07:58
1

Você pode usar o PcapSplitter que faz parte do PcapPlusPlus . Você pode usar essa ferramenta para dividir o arquivo pcap pelo IP do cliente e, no seu caso, você provavelmente obterá 60 arquivos, cada um contendo um ataque. Por favor use a ferramenta da seguinte forma: 

PcapSpliter.exe -f <YOUR_PCAP> -m client-ip

você não mencionou o sistema operacional que está usando, mas essa ferramenta é compatível com Win32, Linux e Mac)

    
por 10.08.2016 / 23:32
0

SplitCap pode dividir os pacotes para cada endereço IP individual em arquivos pcap separados em apenas um comando: 

SplitCap.exe -r capture.pcap -s host

Você terá um arquivo pcap para cada endereço IP em capture.pcap depois disso. Cada arquivo conterá todos os pacotes de e para esse endereço IP específico. Doce e simples!

O SplitCap é gratuito e está disponível aqui: link

    
por 27.05.2012 / 21:56

Tags

Nginx equivalente a mod_security e relacionado udev regra executar 2 vezes