关于PacketSifter

PacketSifter这款工具旨在帮助广大研究/分析人员从捕捉到的数据包文件(pcap)中筛选出其中有价值或值得分析的流量数据。PacketSifter可以接受一个pcap文件作为输入参数,并输出多个分析结果文件。

当前版本的PacketSifter在经过优化改进之后,允许用户与其进行更加精简的交互,我们可以运行./packetsifter -h以了解新版本PacketSifter的具体使用方式。

工作机制

我们只需要向PacketSifter提供一个待分析的pcap文件,然后使用适当的参数运行筛选分析工作,PacketSifter将会给我们直接提供分析结果文件。

在运行PacketSifter主程序之前,为了保证分析正常执行,请先运行AbuseIPDBInitial.sh和VTInitial.sh。

工具要求

tshark - https://tshark.dev/setup/install/

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/packetsifter/packetsifterTool.git

命令行选项

a:针对DNS A记录中的IP地址启用AbuseIPDB查询;

-h:打印帮助信息;

-i:输入文件【必须】;

-r:解析pcap中的主机名;

-v:针对SMB/HTTP对象启用VirusTotal查询;

VirusTotal整合

PacketSifter可以通过VirusTotal API对通过SMB/HTTP发现的导出对象执行哈希查询。

首先,我们需要在本地设备上安装并配置好jq:

root@ubuntu:~# apt-get install jq

接下来,确保已经安装好了curl:

root@ubuntu:~# apt-get install curl

现在,切换到项目根目录下,并运行VTInitial.sh,然后提供你的VirusTotal API密钥(64位)。关于如何获取免费的VirusTotal API密钥,可以参考这篇【文档】。

VTInitial.sh的正常输出如下图所示:

使用-v参数运行PacketSifter以针对导出的HTTP和SMB对象启用VirusTotal查询。

成功执行后的VTInitial.sh输出结果如下图所示:

AbuseIPDB整合

PacketSifter可以针对DNS A记录中的IP地址执行IP地理位置查询或IP名声查询。

首先,我们需要在本地设备上安装并配置好jq:

root@ubuntu:~# apt-get install jq

接下来,确保已经安装好了curl:

root@ubuntu:~# apt-get install curl

现在,切换到项目根目录下,并运行AbuseIPDBInitial.sh,然后提供你的AbuseIPDB API密钥(80位)。

关于如何获取免费的AbuseIPDB API密钥,可以参考这篇【文档】。

注意:免费的AbuseIPDB API密钥每天只能执行1000次查询。

AbuseIPDBInitial.sh的正常输出如下图所示:

使用-a参数运行PacketSifter以通过AbuseIPDB针对DNS A记录执行查询。

成功执行后的AbuseIPDBInitial.sh输出结果如下图所示:

工具使用样例

root@ubuntu:~# ./packetsifter -i /tmp/testing.pcap -a -r -v

项目地址

PacketSifter:【GitHub传送门】

参考文献

网络安全学习攻略

【网络安全】如何使用PacketSifter从pcap中筛选出有用的信息相关推荐

  1. xlsx表格怎么筛选重复数据_怎样在excel2010中筛选出重复数据呢?

    数据是信息的表现形式和载体,可以是符号.文字.数字.语音.图像.视频等.数据和信息是不可分离的,数据是信息的表达,信息是数据的内涵.在这一篇教程里面,小编主要和大家简单的介绍一下:怎样在Excel20 ...

  2. Dataframe中筛选出满足条件的行

    [小白从小学Python.C.Java] [Python-计算机等级考试二级] [Python-数据分析] Dataframe中筛选出满足条件的行 选择题 关于以下代码说法错误的是?   import ...

  3. js从一个数组中筛选出另一个数组中存在的值

    js从一个数组中筛选出另一个数组中存在的值 这里从arr中筛选arr1中存在的值,arr2为筛选结果数组 let arr=["1","2","3&qu ...

  4. es6去除重复项_javascript在ES6中从数组中筛选出重复项并仅返回唯一值

    这是从数组中筛选出重复项并仅返回唯一值的三种方法.我最喜欢的是使用Set,因为它是最短和最简单的. 1.使用Set 首先让我解释一下Set:Set是ES6中引入的新数据对象.因为Set仅允许您存储唯一 ...

  5. 如何从一个大规模的文本中筛选出符合条件的记录

    现在是大数据时代.尤其是互联网企业,任何一个人都有可能拿到一份庞大的数据.不管你是否具有数据处理的能力,你都要面对它. 面对突如其来的一份庞大的数据,该怎样来对付它呢?这时候用SqlCel正是一个非常 ...

  6. 未签收的快递单号怎样查询,怎样在众多单号中筛选出未签收的单号

    查询众多的快递单号时,如何快速将未签收的单号全部筛选出来呢?今天分享给大家一个批量查询的方法,快速筛选单号,一起来查询试试吧. 准备工具: 下载一个快递批量查询高手 快递单号 开始操作: 在电脑上运行 ...

  7. 获取线程中抛出的异常信息

    1 ScheduledExecutorService service = Executors.newScheduledThreadPool(10); 2 // 从现在开始delay毫秒之后,每隔一天执 ...

  8. java 根据条件从list中筛选出符合条件的集合_Java8 Stream:2万字20个实例,玩转集合的筛选、归约、分组、聚合

    点波关注不迷路,一键三连好运连连! 先贴上几个案例,水平高超的同学可以挑战一下: 从员工集合中筛选出salary大于8000的员工,并放置到新的集合里. 统计员工的最高薪资.平均薪资.薪资之和. 将员 ...

  9. 如何在众多快递物流中筛选出代收的单号

    繁琐了.今天小编给大家分享一个新的查询技巧,它不仅能同时查询多家快递物流,还可对查询到的物流进行分析.筛选以及导出,下面一起来试试. 需要哪些工具? 安装一个快递批量查询高手 快递单号若干 怎么快速筛 ...

最新文章

  1. 核心交换机的TRUNK配置功能详细讲解
  2. axios教程01-基本使用流程
  3. how is SAP UI5 Model.setProperty implemented
  4. 解决小程序图片在开发者工具能显示,测试时真机不显示问题
  5. Eclipse创建SpringMVC,Spring, Hibernate项目
  6. WeakHashMap理解
  7. DB2 SQL Error: SQLCODE=-668, SQLSTATE=57016
  8. 学习OpenCV——SVM 手写数字检测
  9. How to deploy Odoo 11 on Ubuntu 18.04
  10. [期刊科普]期刊划分和分区:北大核心、南大核心、SCI、万方维普知网
  11. 爱思助手从苹果服务器shsh失败,爱思助手无法提取SHSH降级iOS6.1.2固件教程
  12. 少儿Python编程教程
  13. 汇编语言怎么编译python_汇编语言编译器的编写方法
  14. jmu-ds-集合的并交差运算
  15. 微信公众号管理欧宁泰php,米拓微信公众号管理应用-MetInfo帮助中心
  16. 如何自定义 conventional-changelog
  17. SSM+MySQL+JSP教务管理系统设计与实现(附源码下载地址)
  18. POJ 3322 Bloxorz I
  19. win10弹出计算机内存不足,主编解答win10系统提示“计算机内存不足”的解决方案...
  20. 【C语言】一文彻底理解指针,通俗易懂

热门文章

  1. 成功解决ValueError: could not convert string to float: ‘\\N‘
  2. 成功解决基于pyecharts生成的html文件打开时显示空白
  3. Algorithm:【Algorithm算法进阶之路】之数据结构基础知识
  4. Py之pygame:Python的pygame库的简介、安装、使用方法详细攻略
  5. Py之gym:gym的简介、安装、使用方法之详细攻略
  6. Hyperopt中文文档:FMin
  7. eclipse创建spring boot项目加载不到application.properties配置文件
  8. PHP5.6通过CURL上传图片@符无效的兼容问题
  9. 构建ASP.NET MVC4+EF5+EasyUI+Unity2.x注入的后台管理系统(40)-精准在线人数统计实现-【过滤器+Cache】...
  10. 本科生怎样发表论文?