Tranalyzer2のインストールと簡単な使い方のチュートリアル

1 Tranalyzer2 の紹介

Tranalyzer2 は、実務家や研究者向けに設計された軽量のトラフィック ジェネレーターおよびパケット アナライザーです。特に価値があるのは、シンプルさ、高性能、およびスケーラビリティです。Cisco NetFlow の機能を拡張し、アナリストが非常に大きなパケット ダンプを処理できるようにします。トラフィックや対象のパケットの詳細な分析をサポートし、縮小された pcap をすばやく生成して、独自のテキストベースのパケット パターンを介して詳細に分析したり、単に tcpdump や Wireshark にロードしたりできます。
このプログラムはオープン ソースであり、C 言語で実装され、libpcap ライブラリ上に構築されています。Tranalyzer は、イーサネット インターフェイスまたは pcap ファイルからリアルタイムでキャプチャされた IP トレースの主要なパラメータと統計を分析および生成する機能を提供します。Tranalyzer のバイナリおよびテキスト出力の量は、有効なプラグインによって異なります。したがって、ユーザーは必要に応じて出力をカスタマイズできます。さらに、追加のプラグインは、他のプラグインの機能とは独立して開発できます。
公式サイトアドレス: Tranalyzer2

2 インストール (例として Ubuntu 20.04)

1. https://tranalyzer.com/downloads でソース パッケージをダウンロードします。
   
2. 最初に依存関係を Ubuntu にインストールします。

apt-get install autoconf autoconf-archive automake libbsd-dev libpcap-dev libreadline-dev libtool make meson zlib1g-dev

3. ダウンロードした圧縮パッケージを解凍します。

tar xzf tranalyzer2-0.8.13lmw2.tar.gz

4. インストール スクリプトを実行するディレクトリを入力します。

cd tranalyzer2-0.8.13
./setup.sh

注: インストールでエラーが報告される場合があります。例:

ここでは、最初にプロンプ​​トに従って " setup.sh -N" を実行し、インストールのエラー部分をスキップします。
スクリプトの実行後、次のように入力します。

source ~/.bashrc

次に、問題が発生した部分を手動でインストールし、次のように入力します。

t2build dnsDecode
t2build macRecorder
t2build sshDecode
t2build sslDecode

macRecorder を例にとると、インストール中にエラーが再び表示される場合があります。エラー

の原因は
" "/root/software/tranalyzer2-0.8.13/plugins/macRecorder/autogen.shの 28 行目の実行時に発生していることに注意Permission deniedしてください。スクリプトを開いて観察し

ます。28 行目で、スクリプトは
" /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv" を呼び出します。同時に、このファイルにはデフォルトで実行権限がないことが判明したため、最初に実行権限を追加する必要があります。

chmod +x /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv

次に " t2build macRecorder"をもう一度実行します

注：この種のエラーは複数回発生する場合があり、処理方法は同じです

以前にエラーを報告した 4 つのプラグインをコンパイルしてインストールした後、次を実行します。

t2build

今回は、システムが自動的に必要なすべてのプラグインをコンパイルしてインストールします。

インストールの部分は終わりです。次にツールの使用方法を説明します。

3 チュートリアル

3.1 フローモード

インストールが完了したら、実行Tranalyzer2する使用可能なオプションを表示するためにt2入力することです:ご覧のとおり、入力は、指定されたネットワーク カード、または単一/複数の pcap ファイル(たとえば、キャプチャして分析するネットワーク カードを指定する) にすることができます。t2 -h

t2 -i eth0

CTRL + Cパケットをキャプチャした後、出力された統計結果が対応するフォルダーに表示されます。

たとえば、pcap ファイルを読み取り、入力結果を指定したフォルダーに書き込みます。

t2 -r /root/pcap/test.pcap -w /root/result/

プログラムの実行結果は次のとおりです。

出力ディレクトリを確認すると、合計 5 つのファイルが出力されます (有効なプラグインの数によって異なります)。

• test_protocols.txtこのファイルは主に階層化されたバイト カウント統計用であり、その内容は次のとおりです。 -
  ファイルtest_nDPI.txtは主にプロトコル別のパケット レベルのバイト カウント用であり、その内容は次のとおりです。
  
• test_icmpStats.txtこのファイルは ICMP パケットの情報をカウントするもので、その内容は次のとおりです。
  
  test.pcapファイルにはicmpパケットが含まれていないため、ここでは空です。
• test_headers.txtファイル内の各列名フィールドの特定の意味は、test_flows.txtファイルに反映されています。
  
• test_flows.txtこのファイルは、ツールによってストリームから抽出された有効なフィールドを記録し、特定の意味は前のファイルに導入されています。
  

3.2 パケットモード

ストリーミング モードで機能を抽出するだけでなく、t2 はパッケージ レベルで機能フィールドを抽出することもできます。

t2 -r /root/pcap/test.pcap -w /root/result1/ -s

さらにフォルダがありますtest_protocols.txt：

• test_protocols.txtのファイル内のt2抽出された:
  

3.3 IDS モード

通常の構成ファイルを変更することにより、公式 Web サイトを例にTranalyzer2とると、機能フィールドをデータ パケットで一致させることができます。demoデフォルトの通常のルール構成ファイルを表示します。

regex_pcre
tcol scripts/regfile.txt

この時点で、t2分析pcapファイルを再度実行すると、コマンドのルールによって警告が生成されます。

3.4 統計分析

Tranalyzer2前の手順で生成された " " ファイルから統計情報を取得し、ファイルを生成できます。.txtPDF

t2fm -F /root/result/test_flows.txt

ファイルから直接統計pcapを生成することもできます。PDF

t2fm -b -A -r /root/pcap/test.pcap

PDFファイルの内容は次のとおりです。