1 Tranalyzer2简介
Tranalyzer2是一个轻量级的流量生成器和包分析器,为从业者和研究人员设计。特别的价值在于简单性、高性能和可扩展性。它扩展了Cisco NetFlow的功能,并支持分析人员处理超大型的数据包转储。它支持对感兴趣的流量甚至数据包进行深入分析,并能够快速生成一个缩小的pcap,然后可以通过它自己的基于文本的数据包模式进行深入分析,或者简单地加载到tcpdump或Wireshark中。
该程序是开源的,用C语言实现,建立在libpcap库上。Tranalyzer提供了分析和生成关键参数的功能,以及从以太网接口或pcap文件实时捕获的IP跟踪的统计数据。Tranalyzer的二进制和文本输出的数量取决于启用的插件。因此,用户有可能根据他们的需要来定制输出。此外,额外的插件可以独立于其他插件的功能而被开发。
官网地址:Tranalyzer2
2 安装(以Ubuntu 20.04为例)
- 在https://tranalyzer.com/downloads下载源码包:
- 在Ubuntu上先安装依赖:
apt-get install autoconf autoconf-archive automake libbsd-dev libpcap-dev libreadline-dev libtool make meson zlib1g-dev
- 解压下载好的压缩包:
tar xzf tranalyzer2-0.8.13lmw2.tar.gz
- 进入目录执行安装脚本:
cd tranalyzer2-0.8.13
./setup.sh
Notes:安装可能会报错,例如:
此处我们先按照提示执行 “setup.sh -N
”先跳过出错部分安装即可
待脚本执行结束后,输入:
source ~/.bashrc
然后,我们再手动去安装刚才出错的部分,分别输入:
t2build dnsDecode
t2build macRecorder
t2build sshDecode
t2build sslDecode
以 macRecorder 为例,安装时可能会再次出现报错:
注意到错误原因是在执行:
“/root/software/tranalyzer2-0.8.13/plugins/macRecorder/autogen.sh
”的第28 行时出现了 Permission denied
,打开该脚本观察:
在 28 行处,脚本调用了:
“/root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv
”,同时我们发现默认这个文件是没有执行权限的,因此此处我们需要先给其加上执行权限:
chmod +x /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv
然后再运行一遍 “t2build macRecorder
”即可
Notes:此类错误可能会出现多次,处理方法一样
单独编译安装完之前报错的 4 个插件后,再执行:
t2build
这次系统会自动帮我们编译安装好所有必需插件:
至此安装部分结束,下文介绍工具使用方法。
3 使用教程
3.1 Flow模式
安装完成后,运行 Tranalyzer2
的命令是 t2
,输入 t2 -h
查看可用的选项:
可以看到,输入可以为指定网卡,或者单个/多个pcap文件
e.g. 指定网卡抓包并分析:
t2 -i eth0
CTRL + C
结束抓包后,可在对应文件夹看到输出的统计结果:
e.g. 读取一个pcap文件并将输入结果写入到指定文件夹:
t2 -r /root/pcap/test.pcap -w /root/result/
程序运行结果如下:
查看输出目录,总共输出了五个文件(根据启用的插件数量而定):
test_protocols.txt
文件主要为分层字节数统计,其内容如下:
-
test_nDPI.txt
文件主要是分协议统计了包数级字节数,其内容如下:
test_icmpStats.txt
文件统计了ICMP包的信息,其内容如下:
test.pcap
文件不包含icmp
包,因此此处为空test_headers.txt
文件为每个列名字段的具体含义,在test_flows.txt
文件中有体现:
test_flows.txt
文件记录了工具从流中提取的有效字段,具体含义在上个文件中介绍:
3.2 Packet模式
除了以流模式提取特征外, t2 还可以提取包级别的特征字段,运行:
t2 -r /root/pcap/test.pcap -w /root/result1/ -s
文件夹下多了 test_protocols.txt
:
test_protocols.txt
文件中为t2
提取的包级别特征字段:
3.3 IDS模式
通过修改正则配置文件,Tranalyzer2
可以在数据包中匹配特征字段,以官网demo
为例。查看默认正则规则配置文件:
regex_pcre
tcol scripts/regfile.txt
此时,再运行 t2
分析pcap
文件时,命令的规则会产生警告:
3.4 统计分析
Tranalyzer2
可以从前步生成的 “.txt
” 文件中统计信息并生成 PDF
文件:
t2fm -F /root/result/test_flows.txt
也可以直接从pcap
文件生成 PDF
统计信息:
t2fm -b -A -r /root/pcap/test.pcap
PDF
文件内容如下: