Linux网络流量安全审计

我从cnaaa.com购买了服务器。

介绍

Netcap (NETwork CAPture) 是一个基于命令行的工具,用于对网络流量进行数据包数据分析,该工具能够捕获网络流量中的数据包流并将其转换为系统可以识别的审计记录。生成的审计记录可以保存在单独的硬盘上,也可以通过网络将结果传到另外的服务器保存。

Netcap:安全和可扩展的网络流量分析工具

Netcap 在通过网络流量收集数据包方面非常有效,数据包可以从离线PCAP-NGPCAP转储文件等输入源收集,其它数据包可以通过实时界面访问和收集。

Netcap 使用 Google 的 Protocol Buffers 对其输出进行编码,解析很方便。也可以通过逗号分隔的CSV格式传输。为了不让系统中的数据占用太多空间,Netcap 将其所有数据压缩为gzip格式_._

Netcap 可以使用转储工具查看可用的审计记录,net.dump然后将审计记录转换为支持的文件格式,例如 CSV 和 JSON。由格式错误的数据包导致的日志错误记录在该errors.log部分中。

特点:

  • PCAP 和 PCAP-NG 支持
  • 支持 USB 捕捉
  • 允许实时捕捉
  • CLI命令行界面
  • 可以从分布式来源收集网络数据包
  • 对取证数据分析非常有用

功能:

  • net.capture(实时捕获审计记录或从转储文件中捕获)
  • net.dump(转储各种格式的审计记录)
  • net.label(用于从 netcap 数据创建带标签的 CSV 数据集的工具)
  • net.collect(分布式收集的收集服务器)
  • net.agent(分布式收集的传感器代理)
  • net.proxy(用于从 Web 服务捕获流量的 http 反向代理)
  • net.util(用于验证审计记录和转换时间戳的实用工具)
  • net.export(prometheus 指标的导出器)

支持的平台

Windows, Linux, OS X

Netcap的安装

使用**Go Get**

$ go get -u github.com/dreadl0ck/netcap/...

要安装命令行(使用 Development Build),请运行:

$ go build -o $(go env GOPATH)/bin/netcap -i github.com/dreadl0ck/netcap/cmd

MacOS使用brew安装

$ brew tap dreadl0ck/formulas
$ brew install netcap

安装Netcap后,执行如下命令检查所有单元是否正常运行:

$ go test -v -bench=. ./...

Netcap使用

/ |  _______    ______   _10 |_     _______   ______    ______
/     / \\  /    / \\ / 01/  |   /     / | /    / \\  /    / \\
0010100 /|/011010 /|101010/   /0101010/  001010  |/100110  |
01 |  00 |00    00 |  10 | __ 00 |       /    10 |00 |  01 |
10 |  01 |01001010/   00 |/  |01 \\_____ /0101000 |00 |__10/|
10 |  00 |00/    / |  10  00/ 00/    / |00    00 |00/   00/
00/   10/  0101000/    0010/   0010010/  0010100/ 1010100/00 |
Network Protocol Analysis Framework               00 |
created by Philipp Mieden, 2018                   00/
v5+---------------+--------+                                                                                                                                                                                                             |   Setting     | Value  |                                                                                                                                                                                                             +---------------+--------+                                                                                                                                                                                                             | Workers       | 1000   |                                                                                                                                                                                                             | MemBuffer     | true   |                                                                                                                                                                                                             | Compression   | true   |                                                                                                                                                                                                             | PacketBuffer  | 100    |                                                                                                                                                                                                             +---------------+--------+                                                                                                                                                                                                             spawned 1000 workers                                                                                                                                                                                                                   initialized 29 layer encoders | buffer size: 4096                                                                                                                                                                                      initialized 7 custom encoders | buffer size: 4096                                                                                                                                                                                      running since 535785474s, captured 13000 packets…

要查看 Netcap 所支持的所有编码器,加上–encoders参数,根据你要执行的操作,你可以使用这些标志来排除-exclude或包含-include编码器 。

例子:

从网卡读取流量:

$ net.capture -iface eth0
  • 使用 Ctrl-C (SIGINT) 停止捕获。

PCAP 从和PCAP-NG转储文件中读取流量:

$ net.capture -r traffic.pcap

读取转储文件并打印stdoutcsv格式

$ net.dump -r TCP.ncap.gz

将 CSV 输出保存到文件:

$ net.dump -r TCP.ncap.gz -select Timestamp,SrcPort,DstPort > tcp.csv

展示

还可以通过grafana实时展示网络数据

Linux网络流量安全审计相关推荐

  1. Linux网络流量安全审计的神器

    介绍 Netcap (NETwork CAPture) 是一个基于命令行的工具,用于对网络流量进行数据包数据分析. Netcap:安全和可扩展的网络流量分析工具 Netcap 在通过网络流量收集数据包 ...

  2. Linux网络流量监控Iftop安装

    2019独角兽企业重金招聘Python工程师标准>>> Linux网络流量监控Iftop主要用来显示本机网络流量情况及各相互通信的流量集合,如单独同那台机器间的流量大小,非常适合于代 ...

  3. linux网络流量实时监控工具之iptraf 【个人比较喜欢用的流量监控软件】

    linux网络流量实时监控工具之iptraf IPTraf是一个网络监控工具,功能比nload更强大,可以监控所有的流量,IP流量,按协议分的流量,还可以设置过滤器等,如下图 对监控网络来说,这个更适 ...

  4. Linux 网络流量监控工具

    Linux 网络流量监控 Linux 网络流量监控是捕获和分析企业的 Linux 网络流量的过程. 为什么要监控 Linux 网络流量 深入了解网络流量对于测量和管理带宽使用情况非常重要.分析 Lin ...

  5. Linux 网络流量监控利器 iftop 中文入门指南

    iftop 是什么 在 Linux 系统下即时监控服务器的网络带宽使用情况,有很多工具,比如 iptraf.nethogs 等等,但是推荐使用小巧但功能很强大的 iftop 工具. iftop 是 L ...

  6. 基于linux网络流量监控与分析软件的设计与实现shell,Shell图形化监控网络流量

    网络流量的监控工具有很多,如:Mrtg.Cacti.Zabbix等等,他们都有着各自的特点,不同的侧重,只为适合不同的应用场景的各种特殊需求.除了网络流量监控工具以外,还有Nagios这样的监控主机状 ...

  7. linux网络流量统计,linux下网络流量监控统计

    最近在做虚拟化迁入评估,其中很重要的一项就是流量的问题.现在部署一个工具和脚本用来统计服务器的网络流量. linux下监控流量的工具有很多,比如ifstat.iftop等. 个人还是喜欢ifstat, ...

  8. Linux网络流量监控脚本

    公网业务中时长会出现服务器异常繁忙或者CPU和内存突然增长,导致我们服务不稳定,很有可能是被网络攻击导致的.所以运维人员都要具备对服务器的流量和连接数进行随时监控和排查的能力. 前几期出了一批使用脚本 ...

  9. linux 网络流量如何计算,如何在Linux下统计高速网络中的流量

    在Linux中有很多的流量监控工具,它们可以监控.分类网络流量,以花哨的图形用户界面提供实时流量分析报告.大多数这些工具(例如:ntopng , iftop )都是基于libpcap 库的 ,这个函数 ...

最新文章

  1. 百度阿里华为资深AI工程师薪资一览,有多大能力拿多少钱
  2. mysql防止索引崩溃_MySQL优化之避免索引失效的方法
  3. jmeter 多机负载压测与服务器性能监测
  4. python __builtins__ credits类 (15)
  5. 程序员绩效总结_闲聊程序员的绩效考核
  6. zookeeper笔记+源码刨析
  7. 基于深度强化学习的区域化视觉导航方法​​
  8. C语言基础知识(二)-------C++变量及赋值
  9. win10无法修改mac地址_路由器无线MAC地址过滤如何设置
  10. 苹果开发者账户需要同意并添加电话号码,苹果账号忘记验证问题解决方案
  11. html阿里矢量图标库,分析Iconfont-阿里巴巴矢量常用图标库
  12. 紫光服务器管理口装系统,紫光一键重装系统步骤方法
  13. vmoptions默认配置_VM options 以及 properties文件的一些理解
  14. 微商铺php,帮助中心-微商铺的功能详解
  15. 网上商城SSH三者间的牵线
  16. react中react-custom-scrollbars返回顶部功能,如何使其有平滑动画效果;原生js scroll平滑动画效果
  17. Spring Boot,Whitelabel Error Page解决方法
  18. wish平台怎么样?wish跨境电商好做吗?
  19. 免费外贸Wordpress网站内容采集教程
  20. 网络层协议(1):Internet 发展简史(上)

热门文章

  1. 导出文件时,数字过大导致出现英文,数字为99999999.99,导出时却是9.999999999E7,修改
  2. Android怎么弄大头特效,抖音大头特效怎么弄
  3. 线条方面的几个英文单词
  4. php虚线_虚线 · 前端技术总结 · 看云
  5. java计算机毕业设计springboot+vue动漫网站
  6. loadlibrary 失败的解决方法
  7. altium designer 学习笔记 原理图库(schematic library)设计与使用
  8. 解决Python库在迁移电脑后用不了
  9. 反调试——Windows异常-SEH
  10. 商城系统源码下载 商城源码开发语言选择