有谁知道可以获取wireshark(pcap)跟踪并将其转换为可视网络拓扑的程序?
我有 3 个带有“很多”数据的 pcap 文件,我真的很想看看我是否能理解一些事情。
我玩过网络矿工之类的东西,但没有任何东西可以为数据提供视觉提示。例如
问问题
7295 次
1 回答
7
你实际上是在问两个问题:
- 如何从网络跟踪中发现网络拓扑
- 如何可视化发现的拓扑
拓扑发现
这是困难的部分。社区还没有开发出可靠的工具,因为网络流量表现出非常难以处理的垃圾。在这个领域想到的最有用的工具是Bro,它可以创建高质量的连接日志。
提取通信图是直接的,即显示谁与谁通信的图。通过使用一些度量(数据包/字节/连接数)衡量边缘,您可以了解给定节点的相对贡献。
对于更复杂的分析,您将不得不开发一些启发式方法。例如,检测路由器可能涉及查看数据包转发行为或从 DHCP ACK 消息中提取默认网关。Bro(“网络的 Python”)允许您以非常自然的形式编写此类分析。
图形可视化
低调的方法涉及生成GraphViz输出。 Afterglow提供了一些包装,使输出更易于消化。如需灵感,请查看http://secviz.org/,您可以在其中找到许多此类图表的示例。它们中的大多数是用余辉创造的。
于 2012-07-14T01:49:48.267 回答