流影之PCAP证据留存

已于 2024-04-14 21:26:11 修改
阅读量448 收藏
点赞数
分类专栏: 流影开源 文章标签: 网络安全 安全威胁分析 开源 开源软件
于 2023-07-07 20:42:49 首次发布
原文链接:https://abyssalfish-os.github.io/news/pcap/
版权

目录

前言 

PCAP概述 

流影之PCAP证据留存 

流影证据留存概要 

流影PCAP留存的应用 

结语 

相关信息 

前言 

本文是关于流影中相关数据类型介绍系列文章的第二篇,主要介绍流影网络行为证据留存概要及其应用。 网络原始流量是网络行为分析识别的基石,流影系统从数据采集到分析和呈现的过程中,产出和留存了丰富的网络数据类型,其中包括原始流量的PCAP留存。需要指出的是,流影并没有选择全流量留存的方式,而是针对性的留存了可疑网络行为相关的流量。

PCAP概述 

PCAP(Packet Capture)是一种网络流量数据报文捕获技术,封装了操作系统底层的网络抓包接口,通过调用统一接口可以捕获目标网卡上数据帧,并存储为PCAP格式数据文件。比如Unix类系统主要使用libpcap库,而Windows系统主要使用WinPcap,进行网络流量捕获和网络流量PCAP留存,文件扩展名一般为pcap。

网络流量留存一般应用于网络流量分析、网络性能优化和网络安全等领域。PCAP格式网络流量留存是比较成熟和常见形式,许多网络监控和数据分析软件都支持PCAP格式,如tcpdump、Wireshark等。

+---------------------+
| 文件头 (PCAP Header) |
|---------------------|
| 数据头 (Packet Header) |
|---------------------|
| 数据包 (Packet Data) |
|---------------------|
| 数据头 (Packet Header) |
|---------------------|
| 数据包 (Packet Data) |
|---------------------|
| ...                 |
+---------------------+

PCAP格式是一种二进制格式的文件,需要使用支持16进制格式的工具进行打开查看。每个PCAP文件包含一个文件头和一个或多个数据包头和数据包。在PCAP文件中,数据包头和数据包是交替出现的,每个数据包头后面紧跟着对应的数据包。数据包头包含了对后面数据包的描述信息,而数据包则是实际的网络数据帧。PCAP具体格式如下图所示:

以下是PCAP文件头中各个字段含义:

  • Magic Number: 标识PCAP文件的格式和字节顺序
  • Major: 主版本号
  • Minor: 次版本号
  • This Zone: 本地标准时间
  • SigFlags: 时间精度
  • Snaplen: 捕获数据包的最大长度
  • LinkType: 网络链接类型,如以太网、令牌环等

数据包头(Packet Header)字段:

  • Timestamp: 高位时间戳,精确到秒
  • Timestamp: 低位时间戳,精确到微秒
  • Caplen: 捕获数据帧长度
  • Len: 实际数据帧长度

数据包(Packet data)是链路层的数据帧,其长度是Packet Header中定义的Caplen值,数据包实际内容是标准的网络协议格式,包括IP报文、TCP报文、UDP报文等。以下是一个用16进制编辑器打开的PCAP文件示例:

上图中红色框内是PCAP文件头,黄色框内是数据头,蓝色框内是一个数据帧。

以上就是对PCAP格式数据的简要介绍。当然,网络流量的留存还有其他方式和格式,例如cap、pcapng等,这里不再过多说明。流影系统集成了网络数据包留存功能,采用的是PCAP相关捕获技术和存储格式。

流影之PCAP证据留存 

流影网络流量探针ly_probe,集成了PCAP数据包捕获和留存的功能。该探针基于开源高性能探针nprobe的5.X版本进行了深度定制化开发,在实际测试和应用中都具有良好的采集吞吐性能,在高速流量场景下仍然能保持比较低的丢包率。流影并没有选择全流量留存,而是选择性的对可疑流量进行了捕获留存,避免全流量留存的资源消耗和性能大量损失。

流影证据留存技术概要 

流影PCAP留存技术上是使用的是Libpcap库,C语言实现。流影探针加载了特征规则,采集流量的同时进行规则匹配,对命中规则特征的单包进行捕获,记入缓存,每五分钟捕获的数据包汇聚为一个文件,直接以Pcap格式进行留存,文件名记录了时间戳,便于数据包查找。

特征规则放置在流量探针指定目录, 默认情况下为fp-pattern/ 目录,包含以JSON格式书写的五类规则。

service.json    -- 应用层协议与服务识别规则
device.json     -- 硬件设备识别规则
os.json	        -- 操作系统识别规则
midware.json    -- 软件平台与中间件规则
threat.json     -- 异常流量识别规则

lyprobe启动时的参数-K指定PCAP的存储路径,默认存储路径配置为/data/cap/3。如下图所示:

留存的PCAP数据包文件如下图所示:

流影PCAP留存的应用 

PCAP数据记录了原始网络流量完整信息,在流影中主要用于追溯和分析场景:

  • 用于对包特征识别结果的验证与追溯
  • 作为威胁行为告警的直接证据

流影提供了PCAP查询接口evidence;该接口以数据包微秒级时间戳为key进行查询,定位和解析数据包,获取数据包MAC、IP、PORT、协议、载荷、包十六进制源数据等信息。该接口的响应数据如下所示:

# 请求示例
evidence?time=1687074364968817&devid=3

# 响应结果示例
[
    {
		"devid": 3,
		"time_sec": 1687074364,
		"time_usec": 968817,
		"caplen": 531,
		"pktlen": 531,
		"smac": "B0-4F-13-E7-43-2E",
		"dmac": "00-26-88-32-FA-CB",
		"sip": "10.10.1.87",
		"sport": 62766,
		"dip": "10.10.10.21",
		"dport": 21,
		"protocol": "TCP",
		"payload": "GET /faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat((select%20concat(user,0x3a,md5(1234),0x3a)%20from%20mysql.user%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)%23  HTTP/1.1..Host: 10.10.10.21:21..User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15..Accept-Encoding: gzip....",
		"pkthdr": "3cb68e6471c80e001302000013020000",
		"packet": "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"
	}
]

该接口提供的PCAP相关信息,被集成到前端界面之中,用于证据展示,便于用户查看、分析使用。例如,从演示环境中查看其中一条包特征识别告警:

点击最后一列的告警事件ID,进入告警详情页面,在下方的事件特征列表中,点击列表第一列的展开按钮,可以查看解析后的数据包信息, 如下图所示。 该事件payload命中了jndi特征串,疑似为log4j漏洞利用攻击,可以结合其他告警或设备日志进一步确认。

值得一提的是,可以将用户通过其他方法留存PCAP数据导入流影进行分析,比如可以使用tcpreplay等流量回放工具,将PCAP数据打到流影探针监听的网卡接口,这样就可以在流影界面看到对应的分析结果。开源版暂未在界面中提供该功能,商业版可以支持定制化开发集成。

结语 

PCAP数据记录了完整网络通信信息,是网络行为分析的最原始和直接的证据。流影系统集成了网络流量PCAP留存功能,流影并没有选择全流量留存,而是针对可疑网络行为流量进行了捕获留存,避免探针的大量资源消耗和性能损失。流影的可视化界面中,对告警事件的PCAP数据进行了解析展示,便于用户从直接的数据证据中发现威胁,让用户更容易看清和看懂网络通信中异常行为。

相关信息 

欢迎大家使用流影,更加欢迎参与项目贡献。前期已经发布一系列流影功能使用介绍的Blog,能够帮助大家理解流影的功能和应用场景。如果没有看过的话建议大家阅读,并在自己部署的实例或提供的演示Demo中进行操作熟悉。

流影广泛适用于各种网络安全防护场景,包括不限于入侵检测、威胁狩猎、攻防演练、网络证据留存、网络行为调查分析、态势感知等。

abyssalfish_os
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
libpcap 抓取lo环路网卡的数据并存储pcap文件
zhuzitop的博客
05-08 628
采集lo网卡数据,简单的函数使用。 pcap_open_live:打开一个捕获的句柄 pcap_dump_open:抓的包保存到本地文件,给出保存路径名 pcap_loop:从pcap_t中读包,直到中断或错误 pcap_dump:抓取的包写入文件 pcap_dump_flush:写文件从缓存到文件 void CCapture::capWork() { char *dev; pcap_t *pcapHand = NULL; char errcont[PCAP_ERRBUF_SIZ
网络数据流逆向分析“潜逃之谜.pcap”文件
09-12
利用 WinHex、Wireshark 等工具,逆向分析“潜逃之谜.pcap”文件,根据 案件描述找到案件调查线索,理解并掌握基于 Wireshark 的网络数据流分析方法。
PCAP文件存储格式
taeyeon_myfavor的专栏
07-06 747
PCAP文件格式PCAP文件头 数据包信息PCAP文件格式PCAP文件格式: 24字节-文件头 (16字节-pcap数据包信息 + 数据包)* n PCAP文件头// pcap.h struct pcap_file_header { bpf_u_int32 magic; u_short version_major; u_short version_minor; bpf
流影之基于NetFlow的网络异常行为发现
最新发布
2401_85023453的博客
06-19 1304
NetFlow最早在上世纪九十年代,由思科(Cisco)公司发明,被应用于其网络设备中对数据交换的加速,同时实现IP数据流的统计测量。思科的NetFlow技术,集成在其嵌入式网络硬件的互联网操作系统(IOS)中,是一套完整的技术解决方案,其中包括了数据交换的加速、数据流统计测量、数据导出和收集分析等相关技术。NetFlow开始是纯软件实现的形式,随着技术的发展,其中数据交换加速的功能逐渐被集成到专用的ASIC芯片中,其他功能依然是软件形式被应用。
深度剖析WinPcap之(九)——数据包的发送过程(8)
理性的幻想
06-23 932
本文转自http://eslxf.blog.51cto.com/918801/214880   1.7.3    发送队列方式的接口实现 1.7.3.1             PacketSendPackets函数 函数发送数据包队列到网络,函数原型如下: INT PacketSendPackets(LPADAPTER AdapterObject, PVOID PacketB
pcap文件解析(三)--拆分SCTP包
LeoY的专栏
01-15 9771
这一章,我们将了解SCTP数据包结构,并简要介绍SCTP协议,最后将带有多个chunk的SCTP包拆分问单个SCTP数据包。 SCTP数据包 数据包头 Eth信息 IP头 SCTP头 SCTP Chunk 1 …… SCTP Chunk n 其中数据包头
Wireshark分割、合并pcap文件
hgr_com的博客
11-25 7704
Wireshark分割、合并pcap文件 1、分割pcap文件 (1)File->Export Specified Packets(导出特定分组): (2)根据需要保存分组: Captured:pcap文件中的所有报文 Displayed:当前显示的所有报文(比如使用了过滤条件,则Displayed指的就是过滤后得到的报文) All packet:导出所有报文 Selected packet:导出被选中的所有报文 Range:导出指定序号范围内的所有报文 2、合并两个pcap文件 (1)Fil
yangrtc从SRS取流分析.pcap
04-21
本人在博文中所用的抓包数据文件
pop3.pcap_pop3.pcap_
10-02
这个“pop3.pcap”文件是一个网络数据包捕获文件,通常由像Wireshark这样的网络分析工具创建或读取。它包含了在POP3协议交互过程中网络上交换的所有数据包的详细信息。 POP3协议主要由以下部分组成: 1. **连接...
pcap文件的rtp包中提取264码流并保存(c语言)202087rtph264.rar
08-07
pcap文件的rtp包中提取264码流并保存,用udp传输的rtp包,解析了pcap文件,并且发布同名博客介绍这个小程序,主要介绍rtp包数据的提取,需要用自己的pcap文件和src端口号运行程序,记得修改
hspcap_流量监控_pcap4j解析http_pcap4j解析ssh_pcap4j_
09-29
除了基本的捕获和解析功能,pcap4j还支持高级特性,如重组TCP流、解码多种协议、自定义数据包处理器等。这使得pcap4j成为开发网络诊断、安全监控和数据分析应用的强大工具。 总的来说,使用pcap4j进行流量监控和...
解析pcap数据包
12-04
解析pcap数据包,提取出其中内容,http协议,https,icmp.dns
pcap介绍,学习抓包
11-29
学习抓包 分析包结构
pcap文件
Shellcode.Cool!
05-10 772
PCAP文件结构: 如上图所示在一个Pcap文件中存在1个Pcap文件头和多个数据包,其中每个数据包都有自己的头和包内容。 下面我们先看看PCAP文件头每个字段: magic为文件识别头,pcap固定为:0xA1B2C3D4。(4个字节) magor version为主版本号(2个字节) minor version为次要版本号(2个字节) timezone为当地
wireshark所抓的PCAP包的分割与合并
无人机飞啊飞啊飞
10-26 6047
进入wireshark的目录下,然后1. 按文件大小分割dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B}(网卡接口) -w d:\000\ddd.pcap(保存目录和文件名) -b filesize:50000(每个文件大小)2. 按包的数目分割editcap -c 6000(包数目) 源目录 分割目录3. 按时间分割
pcap文件详解
热门推荐
天行健,君子以自强不息
04-27 10万+
一.简介 pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wiresh...
Pcap文件详解
辞树
11-29 1万+
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,或者使用sublime打开以十六进制的格式显示。用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生成这种格式的文件。还有一些其他网络分析工具。
PCAP详解
qq_61636702的博客
04-10 3083
即 Packet(通常就是链路层的数据帧去掉前面用于同步和标识帧开始的8字节和最后用于CRC校验的4字节)具体内容,长度就是Caplen,这个长度的 后面,就是当前PCAP文件中存放的下一个Packet数据包,也就是说:PCAP文件里面并没有规定捕获的Packet数据包之间有什么间隔字符串,我 们需要靠第一个Packet包确定下一组数据在文件中的起始位置,向后以此类推。4字节 保存下来的包长度(最多是snaplen,比如68字节),即抓取到的数据帧长度,由此可以得到下一个数据帧的位置。4B 时间戳的精度;
pcap详解
10-01 7116
pcap格式及API详解
vue前端文件流导出.pcap
05-26
实际上,Vue.js是一个用于构建用户界面的JavaScript框架,并不涉及到文件流导出的操作。你可能需要使用其他技术来实现这个功能。 对于导出.pcap文件,可以使用JavaScript中的Blob和FileSaver库,将文件内容保存为Blob对象并调用FileSaver库中的saveAs方法下载文件。下面是一个简单的例子: ```javascript import FileSaver from 'file-saver'; // 生成Blob对象 const data = new Blob([pcapFileContent], { type: 'application/vnd.tcpdump.pcap' }); // 下载文件 FileSaver.saveAs(data, 'example.pcap'); ``` 其中,pcapFileContent是.pcap文件的内容,可以根据实际情况进行替换。 在Vue.js中,你可以将上述代码放在Vue组件的方法中,例如: ```javascript methods: { exportPcap() { // 生成Blob对象 const data = new Blob([pcapFileContent], { type: 'application/vnd.tcpdump.pcap' }); // 下载文件 FileSaver.saveAs(data, 'example.pcap'); } } ``` 然后,在Vue组件的模板中添加一个按钮,绑定上述方法即可: ```html <template> <div> <button @click="exportPcap">导出.pcap文件</button> </div> </template> ``` 当用户点击按钮时,就会触发exportPcap方法,生成并下载.pcap文件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值