1 Tranalyzer2 の紹介
Tranalyzer2 は、実務家や研究者向けに設計された軽量のトラフィック ジェネレーターおよびパケット アナライザーです。特に価値があるのは、シンプルさ、高性能、およびスケーラビリティです。Cisco NetFlow の機能を拡張し、アナリストが非常に大きなパケット ダンプを処理できるようにします。トラフィックや対象のパケットの詳細な分析をサポートし、縮小された pcap をすばやく生成して、独自のテキストベースのパケット パターンを介して詳細に分析したり、単に tcpdump や Wireshark にロードしたりできます。
このプログラムはオープン ソースであり、C 言語で実装され、libpcap ライブラリ上に構築されています。Tranalyzer は、イーサネット インターフェイスまたは pcap ファイルからリアルタイムでキャプチャされた IP トレースの主要なパラメータと統計を分析および生成する機能を提供します。Tranalyzer のバイナリおよびテキスト出力の量は、有効なプラグインによって異なります。したがって、ユーザーは必要に応じて出力をカスタマイズできます。さらに、追加のプラグインは、他のプラグインの機能とは独立して開発できます。
公式サイトアドレス: Tranalyzer2
2 インストール (例として Ubuntu 20.04)
- https://tranalyzer.com/downloads でソース パッケージをダウンロードします。
- 最初に依存関係を Ubuntu にインストールします。
apt-get install autoconf autoconf-archive automake libbsd-dev libpcap-dev libreadline-dev libtool make meson zlib1g-dev
- ダウンロードした圧縮パッケージを解凍します。
tar xzf tranalyzer2-0.8.13lmw2.tar.gz
- インストール スクリプトを実行するディレクトリを入力します。
cd tranalyzer2-0.8.13
./setup.sh
注: インストールでエラーが報告される場合があります。例:
ここでは、最初にプロンプトに従って " setup.sh -N
" を実行し、インストールのエラー部分をスキップします。
スクリプトの実行後、次のように入力します。
source ~/.bashrc
次に、問題が発生した部分を手動でインストールし、次のように入力します。
t2build dnsDecode
t2build macRecorder
t2build sshDecode
t2build sslDecode
macRecorder を例にとると、インストール中にエラーが再び表示される場合があります。エラー
の原因は
" "/root/software/tranalyzer2-0.8.13/plugins/macRecorder/autogen.sh
の 28 行目の実行時に発生していることに注意Permission denied
してください。スクリプトを開いて観察し
ます。28 行目で、スクリプトは
" /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv
" を呼び出します。同時に、このファイルにはデフォルトで実行権限がないことが判明したため、最初に実行権限を追加する必要があります。
chmod +x /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv
次に " t2build macRecorder
"をもう一度実行します
注:この種のエラーは複数回発生する場合があり、処理方法は同じです
以前にエラーを報告した 4 つのプラグインをコンパイルしてインストールした後、次を実行します。
t2build
今回は、システムが自動的に必要なすべてのプラグインをコンパイルしてインストールします。
インストールの部分は終わりです。次にツールの使用方法を説明します。
3 チュートリアル
3.1 フローモード
インストールが完了したら、実行Tranalyzer2
する使用可能なオプションを表示するためにt2
入力することです:ご覧のとおり、入力は、指定されたネットワーク カード、または単一/複数の pcap ファイル(たとえば、キャプチャして分析するネットワーク カードを指定する) にすることができます。t2 -h
t2 -i eth0
CTRL + C
パケットをキャプチャした後、出力された統計結果が対応するフォルダーに表示されます。
たとえば、pcap ファイルを読み取り、入力結果を指定したフォルダーに書き込みます。
t2 -r /root/pcap/test.pcap -w /root/result/
プログラムの実行結果は次のとおりです。
出力ディレクトリを確認すると、合計 5 つのファイルが出力されます (有効なプラグインの数によって異なります)。
test_protocols.txt
このファイルは主に階層化されたバイト カウント統計用であり、その内容は次のとおりです。 -
ファイルtest_nDPI.txt
は主にプロトコル別のパケット レベルのバイト カウント用であり、その内容は次のとおりです。
test_icmpStats.txt
このファイルは ICMP パケットの情報をカウントするもので、その内容は次のとおりです。
test.pcap
ファイルにはicmp
パケットが含まれていないため、ここでは空です。test_headers.txt
ファイル内の各列名フィールドの特定の意味は、test_flows.txt
ファイルに反映されています。
test_flows.txt
このファイルは、ツールによってストリームから抽出された有効なフィールドを記録し、特定の意味は前のファイルに導入されています。
3.2 パケットモード
ストリーミング モードで機能を抽出するだけでなく、t2 はパッケージ レベルで機能フィールドを抽出することもできます。
t2 -r /root/pcap/test.pcap -w /root/result1/ -s
さらにフォルダがありますtest_protocols.txt
:
test_protocols.txt
のファイル内のt2
抽出された:
3.3 IDS モード
通常の構成ファイルを変更することにより、公式 Web サイトを例にTranalyzer2
とると、機能フィールドをデータ パケットで一致させることができます。demo
デフォルトの通常のルール構成ファイルを表示します。
regex_pcre
tcol scripts/regfile.txt
この時点で、t2
分析pcap
ファイルを再度実行すると、コマンドのルールによって警告が生成されます。
3.4 統計分析
Tranalyzer2
前の手順で生成された " " ファイルから統計情報を取得し、ファイルを生成できます。.txt
PDF
t2fm -F /root/result/test_flows.txt
ファイルから直接統計pcap
を生成することもできます。PDF
t2fm -b -A -r /root/pcap/test.pcap
PDF
ファイルの内容は次のとおりです。