使用PacketSifter从pcap中筛选有价值的信息

admin 2021年12月3日10:43:21安全闲碎评论40 views1533字阅读5分6秒阅读模式

关于PacketSifter

PacketSifter这款工具旨在帮助广大研究/分析人员从捕捉到的数据包文件(pcap)中筛选出其中有价值或值得分析的流量数据。PacketSifter可以接受一个pcap文件作为输入参数,并输出多个分析结果文件。

当前版本的PacketSifter在经过优化改进之后,允许用户与其进行更加精简的交互,我们可以运行./packetsifter -h以了解新版本PacketSifter的具体使用方式。

使用PacketSifter从pcap中筛选有价值的信息

工作机制

我们只需要向PacketSifter提供一个待分析的pcap文件,然后使用适当的参数运行筛选分析工作,PacketSifter将会给我们直接提供分析结果文件。

在运行PacketSifter主程序之前,为了保证分析正常执行,请先运行AbuseIPDBInitial.sh和VTInitial.sh。

工具要求

  • tshark - https://tshark.dev/setup/install/

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/packetsifter/packetsifterTool.git

命令行选项

  • -a:针对DNS A记录中的IP地址启用AbuseIPDB查询;

  • -h:打印帮助信息;

  • -i:输入文件【必须】;

  • -r:解析pcap中的主机名;

  • -v:针对SMB/HTTP对象启用VirusTotal查询;

VirusTotal整合

PacketSifter可以通过VirusTotal API对通过SMB/HTTP发现的导出对象执行哈希查询。

首先,我们需要在本地设备上安装并配置好jq:

[email protected]:~# apt-get install jq

接下来,确保已经安装好了curl:

[email protected]:~# apt-get install curl

现在,切换到项目根目录下,并运行VTInitial.sh,然后提供你的VirusTotal API密钥(64位)。关于如何获取免费的VirusTotal API密钥,可以参考这篇【文档】。

VTInitial.sh的正常输出如下图所示:

使用PacketSifter从pcap中筛选有价值的信息

使用-v参数运行PacketSifter以针对导出的HTTP和SMB对象启用VirusTotal查询。

成功执行后的VTInitial.sh输出结果如下图所示:

使用PacketSifter从pcap中筛选有价值的信息

AbuseIPDB整合

PacketSifter可以针对DNS A记录中的IP地址执行IP地理位置查询或IP名声查询。

首先,我们需要在本地设备上安装并配置好jq:

[email protected]:~# apt-get install jq

接下来,确保已经安装好了curl:

[email protected]:~# apt-get install curl

现在,切换到项目根目录下,并运行AbuseIPDBInitial.sh,然后提供你的AbuseIPDB API密钥(80位)。

关于如何获取免费的AbuseIPDB API密钥,可以参考这篇【文档】。

注意:免费的AbuseIPDB API密钥每天只能执行1000次查询。

AbuseIPDBInitial.sh的正常输出如下图所示:

使用PacketSifter从pcap中筛选有价值的信息

使用-a参数运行PacketSifter以通过AbuseIPDB针对DNS A记录执行查询。

成功执行后的AbuseIPDBInitial.sh输出结果如下图所示:

使用PacketSifter从pcap中筛选有价值的信息

工具使用样例

[email protected]:~# ./packetsifter -i /tmp/testing.pcap -a -r -v

项目地址

PacketSifter:https://github.com/packetsifter/packetsifterTool


本文始发于微信公众号(盾山实验室):使用PacketSifter从pcap中筛选有价值的信息

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日10:43:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  使用PacketSifter从pcap中筛选有价值的信息 http://cn-sec.com/archives/544587.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: