AI高效溯源：红蓝对抗、应急响应、溯源分析深度分析利器|应急溯源

下载地址 :https://github.com/CuriousLearnerDev/TrafficEye

🧱 工具架构

🚀 工具现有功能

• ✅ pyshark 

• ✅ 已完成 tshark 调用优化，性能大幅提升（解析速度为 pyshark 的约 100 倍，原本几分钟的分析现在可在数秒内完成）

• ✅自动识别文件类型进行分析

• ✅可以使用sslkeys.log对HTTPS的数据解密

• 🎯 全流量文件.pcapng、

  • ✅ 支持输出Burp Suite的http数据
  • ✅ 支持输出POST数据部分字节流格式
  • ✅ 支持输出POST数据部原始16进制数据
  • ✅ 支持过滤输出uri、过滤请求和响应

• 📄 LOG文件分析

  • ✅ 支持Apache
  • ✅ 支持Nginx
  • ✅ 支持JSON
  • ✅ 支持F5
  • ✅ 支持HAProxy
  • ✅ 支持Tomcat
  • ✅ 支持IIS

• 🔁 数据重放

  • ✅ 原封不动重放请求
  • ✅ 发送完整二进制请求数据
  • 按会话发送请求：
    
     请求会按照建立的连接会话顺序发送，例如，在哥斯拉工具中，测试 Webshell 时会自动发送三次请求，这三次请求构成一个会话，输入会话 ID 后可以重放这三次请求，完全复现会话过程

• 📦 二进制文件提取支持：

  - ✅ 支持：JAVA 序列化二进制数据

  - ✅ 支持：C# 序列化数据

• - ✅ 支持：脚本和代码文件 (Python, JavaScript, PHP, Ruby, Java等)

  - ✅ 支持：二进制文件签名检测（如：特定软件或硬件生成的二进制格式）

• 📊 统计

  • ✅ 支持访问地址整理访问次数
  • ✅ IP地址归属地
  • ✅ 原始IP
  • ✅ 使用的方法
  • ✅ 访问次数

• 🧰 安全检测

  • ✅ 信息泄露/目录遍历
  • ✅ 敏感文件泄露
  • ✅ 目录遍历
  • ✅ 远程文件包含
  • ✅ 本地文件包含
  • ✅ 远程代码执行
  • ✅ SQL注入攻击
  • ✅ 跨站脚本攻击（XSS）

• 🧠 AI检测

  • ✅ 支持指定URI分析，分析优化
  • ✅ 支持自动化批量分析
  • ✅ 支持指定请求头、请求体分析

📸 界面预览

仪表盘统计界面

流量文件二进制数据提取

LOG web文件分析

全流量接触可以拆分成更容易阅读的格式，方便我们分析流量

流量会话重放

• 原封不动重放请求
• 发送完整二进制请求数据
• 按会话发送请求：
  
   请求会按照建立的连接会话顺序发送，例如，在哥斯拉工具中，测试 Webshell 时会自动发送三次请求，这三次请求构成一个会话，输入会话 ID 后可以重放这三次请求，完全复现会话过程

例如：哥斯拉会话id如下

我们就可以输入id发送这个请求

统计分析

正则验证

AI分析

0x03更新说明

2025-05-03：增加分析的IP访问URI统计2025-05-02：日志分析的实时交互体验（动态更新）2025-05-01：修复显示问题、优化LOG文件分析多核 CPU 并行处理能力2025-04-28：全流量大文件分析内存优化，输出超过20万行时自动写入硬盘，降低内存占用2025-04-28：性能优化，WEB日志log分析模块已经测试处理2GB文件及400万条数据2025-04-26：默认AI识别、流量包二进制文件识别、不勾选，提升整体速度2025-04-24：性能优化2025-04-23：统计分析可以点击全屏2025-04-20：指定请求URI、请求头、请求体AI分析，优化流量分析速度、界面修改、部分问题修复2025-04-19：完善基本AI危险识别模块2025-04-18：开始研发情报分析模块2025-04-17：开始研发AI分析模块2025-04-15：新增TLS解密功能2025-04-14：界面优化功能优化2025-04-13：新增二进制文件提取2025-04-12：开始研发二进制文件提取2025-04-11：开始界面修改2025-04-10：开始编写正则2025-04-10：开始修改核心代码2025-04-09：开始日志提取模块2025-04-08：开始日志提取正则2025-04-06：开始重放功能2025-04-05：开始设置输出数据流

0x04 使用介绍