5

有谁知道可以获取wireshark(pcap)跟踪并将其转换为可视网络拓扑的程序?

我有 3 个带有“很多”数据的 pcap 文件,我真的很想看看我是否能理解一些事情。

我玩过网络矿工之类的东西,但没有任何东西可以为数据提供视觉提示。例如在此处输入图像描述

4

1 回答 1

7

你实际上是在问两个问题:

  1. 如何从网络跟踪中发现网络拓扑
  2. 如何可视化发现的拓扑

拓扑发现

这是困难的部分。社区还没有开发出可靠的工具,因为网络流量表现出非常难以处理的垃圾。在这个领域想到的最有用的工具是Bro,它可以创建高质量的连接日志

提取通信图是直接的,即显示谁与谁通信的图。通过使用一些度量(数据包/字节/连接数)衡量边缘,您可以了解给定节点的相对贡献。

对于更复杂的分析,您将不得不开发一些启发式方法。例如,检测路由器可能涉及查看数据包转发行为或从 DHCP ACK 消息中提取默认网关。Bro(“网络的 Python”)允许您以非常自然的形式编写此类分析。

图形可视化

低调的方法涉及生成GraphViz输出。 Afterglow提供了一些包装,使输出更易于消化。如需灵感,请查看http://secviz.org/,您可以在其中找到许多此类图表的示例。它们中的大多数是用余辉创造的。

还有Gephi,一个比较花哨的图形可视化引擎,支持多种图形输入格式。生成的图表看起来很漂亮,也可以交互式地探索

于 2012-07-14T01:49:48.267 回答