Pcap-Analyzer: Python编写的可视化的离线数据包分析器

[](#pcap-analyzer)Pcap-Analyzer

[](#%E6%9B%B4%E6%96%B0%E8%AF%B4%E6%98%8E)更新说明

  • 将项目从Python2.X移植到Python3.X
  • 修复了多个Bug

[](#%E4%B8%BB%E8%A6%81%E5%8A%9F%E8%83%BD)主要功能

  • 1.展示数据包基本信息
  • 2.分析数据包协议
  • 3.分析数据包流量
  • 4.绘制出访问IP经纬度地图
  • 5.提取数据包中特定协议的会话连接(WEB,FTP,Telnet)
  • 6.提取会话中的敏感数据(密码)
  • 7.简单的分析数据包中的安全风险(WEB攻击,暴力破解)
  • 8.提取数据报中的特定协议的传输文件或者所有的二进制文件

[](#%E6%95%88%E6%9E%9C%E5%B1%95%E7%A4%BA)效果展示

[](#%E9%A6%96%E9%A1%B5)首页:

Alt Text

[](#%E5%9F%BA%E6%9C%AC%E6%95%B0%E6%8D%AE%E5%B1%95%E7%A4%BA)基本数据展示:

Alt Text

[](#%E5%8D%8F%E8%AE%AE%E5%88%86%E6%9E%90)协议分析:

Alt Text

[](#%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90)流量分析:

Alt Text

[](#%E8%AE%BF%E9%97%AEip%E7%BB%8F%E7%BA%AC%E5%BA%A6%E5%9C%B0%E5%9B%BE)访问IP经纬度地图:

Alt Text

[](#%E4%BC%9A%E8%AF%9D%E6%8F%90%E5%8F%96)会话提取:

Alt Text

[](#%E6%94%BB%E5%87%BB%E4%BF%A1%E6%81%AF%E8%AD%A6%E5%91%8A)攻击信息警告:

Alt Text

[](#%E6%96%87%E4%BB%B6%E6%8F%90%E5%8F%96)文件提取:

Alt Text

[](#%E5%AE%89%E8%A3%85%E9%83%A8%E7%BD%B2%E8%BF%87%E7%A8%8B)安装部署过程:

  • 运行环境:Python 3.5.X
  • 操作系统:Linux (以Ubuntu 15.10为例)

[](#1python%E7%9B%B8%E5%85%B3%E7%8E%AF%E5%A2%83%E9%85%8D%E7%BD%AEubuntu%E9%BB%98%E8%AE%A4%E5%AE%89%E8%A3%85python27%E4%B8%8D%E9%9C%80%E8%A6%81%E9%A2%9D%E5%A4%96%E5%AE%89%E8%A3%85python)1.Python相关环境配置(Ubuntu默认安装Python2.7不需要额外安装Python)

Python包管理器安装:sudo apt-get install python-setuptools python-pip

[](#2%E7%9B%B8%E5%85%B3%E7%AC%AC%E4%B8%89%E6%96%B9%E4%BE%9D%E8%B5%96%E5%BA%93%E5%AE%89%E8%A3%85)2.相关第三方依赖库安装:

  • sudo apt-get install tcpdump graphviz imagemagick python-gnuplot python-crypto python-pyx
  • sudo pip3 install scapy
  • sudo pip3 install Flask
  • sudo pip3 install Flask-WTF
  • sudo pip3 install geoip2
  • sudo pip3 install pyx
  • sudo pip3 install requests

[](#3%E4%BF%AE%E6%94%B9%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6)3.修改配置文件

注意修改config.py配置文件中的目录位置

  • UPLOAD_FOLDER = '/home/dj/PCAP/' 上传的PCAP文件保存的位置
  • FILE_FOLDER = '/home/dj/Files/' 提取文件时保存的位置,下面必须要有All、FTP、Mail、Web子目录,用于存放提取不同协议的文件
  • PDF_FOLDER = '/home/dj/Files/PDF/' PCAP保存为PDF时保存的位置

[](#4%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%AE%89%E8%A3%85)4.服务器安装

  • Gunicorn服务器:pip3 install gunicorn
  • Nginx服务器:sudo apt-get install nginx
  • Nginx配置:修改/etc/nginx/nginx.conf文件,在http{}中添加下面代码:

server {
listen 81;
server_name localhost;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
location / {
#root html;
#index index.html index.htm;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_pass http://127.0.0.1:8000;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

[](#5%E5%90%AF%E5%8A%A8%E7%B3%BB%E7%BB%9F)5.启动系统:

  • 进入系统所在目录:../pcap-analyzer
  • 通过Gunicorn服务器服务器启动系统,运行命令:gunicorn -c deploy_config.py run:app
  • 此时只能本地访问系统,地址:http://127.0.0.1:8000
  • 启动Nginx服务器:sudo service nginx start
  • 此时其他主机也可访问该系统,地址:http://服务器IP:81

[](#%E5%88%86%E6%9E%90%E4%BC%98%E5%8C%96)分析优化

[](#%E5%AF%B9%E6%95%B0%E6%8D%AE%E5%8C%85%E7%9A%84%E5%88%86%E6%9E%90%E7%BB%93%E6%9E%9C%E7%9A%84%E5%87%86%E7%A1%AE%E7%8E%87%E5%8F%AF%E9%80%9A%E8%BF%87%E4%BF%AE%E6%94%B9%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E6%9D%A5%E6%8F%90%E9%AB%98%E4%BF%AE%E6%AD%A3)对数据包的分析结果的准确率可通过修改配置文件来提高,修正

  • 替换./app/utils/GeoIP/GeoLite2-City.mmdb的IP地址经纬度数据库文件能提高IP经纬度地图的准确率
  • 修改./app/utils/protocol/目录中的各个TCP/IP协议栈的表示号和对应的协议名称可修正协议分析结果
  • 修改./app/utils/waring/HTTP_ATTACK文件可提高数据包中HTTP协议攻击的准确率

原网址: 访问
创建于: 2024-03-07 16:44:53
目录: default
标签: 无

未标明原创文章均为采集,版权归作者所有,转载无需和我联系,请注明原出处,南摩阿彌陀佛,知识,不只知道,要得到

请先后发表评论
  • 最新评论
  • 总共0条评论