网络数据包的捕获及分析软件简介(下)

标签: 网络 数据包 分析 | 发表时间:2012-07-19 22:11 | 作者:wangvsa
出处:http://www.cnblogs.com/

  自由转载 ^_^   同时请注明原文出处: http://www.cnblogs.com/wangvsa/archive/2012/07/19/2600013.html

  

  上一篇简单介绍了几个捕获数据包的工具,这篇整理一下数据包及日志分析工具。

  二、数据包及日志分析工具

  很多数据包捕获工具记录log采用pcap格式,因此也就有很多工具分析pcap文件。下面简单

介绍几个。

  

  1.capinfos - Prints information about capture files

  这个工具比较简洁使用,它能分析所指定的pcap文件(一次可以多个),然后输出很多信息

(可以自己设置参数决定输出想要的信息)。capinfos -h 选项可以方便的设置参数。

  如下不加任何参数将输出所有能够提供的信息:

capinfos out.pcap  // 这个out.pcap就是用logger工具记录的pcap文件
 1 wangchen@wangchen-Aspire-4741:~/shell_ex$ capinfos out.pcap  2 File name:           out.pcap 3 File type:           Wireshark/tcpdump/... - libpcap 4 File encapsulation:  Ethernet 5 Packet size limit:   file hdr: 84 bytes 6 Packet size limit:   inferred: 84 bytes 7 Number of packets:   5279647 8 File size:           413462964 bytes 9 Data size:           31    111541296 bytes10 Capture duration:    301 seconds11 Start time:          Sat Jul 14 10:21:54 201212 End time:            Sat Jul 14 10:26:55 201213 Data byte rate:      103320871.16 bytes/sec14 Data bit rate:       826566969.24 bits/sec15 Average packet size: 5892.73 bytes16 Average packet rate: 17533.61 packets/sec17 SHA1:                b8248a65614cbeb0cfb7d2ecca697bcdbfd9b9ee18 RIPEMD160:           ac5a2d103d873abfaa3fbbd50ae8abe123cb475519 MD5:                 69d559f9a6bc9503d5f0d3df2d4382c820 Strict time order:   False21 wangchen@wangchen-Aspire-4741:~/shell_ex$ 

  

  2.  wireshark - Interactively dump and analyze network traffic

  这个是有图形界面的,功能强大,简单易用,界面如下:

  

  3. tcptrace - a TCP connection analysis tool

  这个软件有两个主要功能,一个是分析pcap文件,找出所有tcp协议包,对所有这些包进行统计得到基于不同ip连接的

信息,然后输出到一个文本文件中。 其二是,对pcap文件信息图形化处理。

  以下是使用第一个功能,-l选项说明详细输出。

tcptrace -l -n out.pcap > out.log

  下面是out.log中的一个连接信息(还是很详细的):

 1 TCP connection 1: 2     host a:        10.10.10.48:38906 3     host b:        10.10.10.49:16797 4     complete conn: no    (SYNs: 0)  (FINs: 0) 5     first packet:  Sat Jul 14 10:28:05.624726 2012 6     last packet:   Sat Jul 14 10:29:05.520813 2012 7     elapsed time:  0:00:59.896087 8     total packets: 443268 9     filename:      out_1.pcap10    a->b:                  b->a:11      total packets:        396623           total packets:         46645      12      ack pkts sent:        396623           ack pkts sent:         46645      13      pure acks sent:       394695           pure acks sent:          826      14      sack pkts sent:            0           sack pkts sent:            0      15      dsack pkts sent:           0           dsack pkts sent:           0      16      max sack blks/ack:         0           max sack blks/ack:         0      17      unique bytes sent:   2306368           unique bytes sent: 2881050304      18      actual data pkts:       1928           actual data pkts:      45819      19      actual data bytes:   2306368           actual data bytes: 2881050304      20      rexmt data pkts:           0           rexmt data pkts:           0      21      rexmt data bytes:          0           rexmt data bytes:          0      22      zwnd probe pkts:           0           zwnd probe pkts:           0      23      zwnd probe bytes:          0           zwnd probe bytes:          0      24      outoforder pkts:           0           outoforder pkts:           0      25      pushed data pkts:        419           pushed data pkts:      30106      26      SYN/FIN pkts sent:       0/0           SYN/FIN pkts sent:       0/0      27      urgent data pkts:          0 pkts      urgent data pkts:          0 pkts 28      urgent data bytes:         0 bytes     urgent data bytes:         0 bytes29      mss requested:             0 bytes     mss requested:             0 bytes30      max segm size:          1460 bytes     max segm size:         64240 bytes31      min segm size:             4 bytes     min segm size:            32 bytes32      avg segm size:          1196 bytes     avg segm size:         62878 bytes33      max win adv:             382 bytes     max win adv:             382 bytes34      min win adv:             354 bytes     min win adv:             365 bytes35      zero win adv:              0 times     zero win adv:              0 times36      avg win adv:             381 bytes     avg win adv:             381 bytes37      initial window:            0 bytes     initial window:            0 bytes38      initial window:            0 pkts      initial window:            0 pkts 39      ttl stream length:        NA           ttl stream length:        NA      40      missed data:              NA           missed data:              NA      41      truncated data:      2248606 bytes     truncated data:    2879675734 bytes42      truncated packets:      1925 pkts      truncated packets:     45819 pkts 43      data xmit time:       59.693 secs      data xmit time:       59.895 secs 44      idletime max:          217.1 ms        idletime max:          215.4 ms   45      throughput:            38506 Bps       throughput:         48100810 Bps  46 ================================

  

  4. tcpstat — report network interface statistics

  这个工具即可以实时检测网络,也可以读取pcap文件然后产生想要的数据。而且还可以配合gnuplot使用

进行可视化(没有需求也就没试过~.~)。在官网上有如何可视化, 点这

  可视化效果如下(官网的图):

   Image of protocol breakdown

  

  还有很多是我没有使用过的,在tcpdump的网站里就介绍了很多相关软件,大家可以看一下, 点这

  

 

 

 

本文链接

相关 [网络 数据包 分析] 推荐:

网络数据包的捕获及分析软件简介(下)

- - 博客园_首页
  自由转载 ^_^   同时请注明原文出处: http://www.cnblogs.com/wangvsa/archive/2012/07/19/2600013.html.   上一篇简单介绍了几个捕获数据包的工具,这篇整理一下数据包及日志分析工具.   二、数据包及日志分析工具.   很多数据包捕获工具记录log采用pcap格式,因此也就有很多工具分析pcap文件.

数据包分析技术与网络基础

- - 技术改变世界 创新驱动中国 - 《程序员》官网
文/ Chris Sanders. 在计算机网络中,每天都可能发生成千上万的问题,从简单的间谍软件感染,到复杂的路由器配置错误. 我们永远也不可能立即解决所有问题,而只能期盼充分地准备好相关的知识和工具,从而能够快速地响应各种类型的错误. 所有的网络问题都源于数据包层次,即使是有着最漂亮外表的应用程序,它们也可能是“金玉其外”但“败絮其中”,有着混乱的设计与糟糕的实现,又或是看起来是可信的,但背地里在搞些恶意的行为.

利用WireShark对听音乐的过程中传送的数据包进行分析

- - FreeBuf.COM | 关注黑客与极客
相信现在的每一个人都在网络上听过音乐,那么,在我们听音乐的过程中,究竟发生了什么呢. 下面我就利用 WireShark 给大家分析一下. 打开wireshark,选择本地连接进行监听. 之后,打开一个音乐软件,随便点击一首歌曲,然后播放这首歌曲. 等待音乐播放了十几秒之后,停止wireshark的监听,现在wireshark已经监听到许多的数据包了,如下图.

30天改造您的网络分析

- liang - SEM WATCH
在30天内改造?我几乎能听到读者的自言自语:“这怎么可能?”. 为什么不可能的原因有很多——他们是理解为什么快速的分析发展几乎从未发生的关键. 然而,一旦我们明确了为什么不可能的原因,我们就可以像清除路障一样清除他们,因为如果您以合适的速度和深思熟虑来处理,就完全有可能快速改造网络分析. 改造网络分析的首要一步是清除不必要的障碍.

TorPCAP:Tor网络取证分析技术

- - FreeBuf互联网安全新媒体平台
发往Tor网络的未加密网络流量,会通过运行Tor客户端计算机(如Tor浏览器)上的localhost TCP sockets来传送流量. 在本文中,我将向大家展示如何将具有localhost流量的PCAP文件,加载到 NetworkMiner 中并可视化匿名的Tor浏览. 我们称这种技术为TorPCAP.

网络数据的背后——网络日志的分析指标

- cRabdanceR - 腾讯CDC
  常用的定量分析是问卷调查,这可以收集到用户对产品的主观反馈,它的结果受问卷题目的影响,不能完全客观地反映用户如何使用产品,他们在实际环境中遇到了哪些问题. 而针对网站的定量分析,网络服务器的日志文件能真实反映用户的当前体验,解释行为的深层特点,能够更有效地改进产品.   网络日志可以帮我们回答很多问题,比如用户在什么时间段浏览网站;对网站的什么板块比较感兴趣;是怎样了解到网站;多少用户会转成重复用户;在网站上找到兴趣点的路径是什么;应该怎样优化使用过程,提高用户体验,等等.

网络营销行为经济学分析: Amazon Apple Netflix Groupon Facebook

- zementary - 互联网营销|Internet Marketing
7月1日,Wired杂志,中文名为连线,最近杜克大学 行为经济学家 丹•艾瑞里(Dan Ariely)撰文在线公司如何让我们共享更多,消费更多. Ariely经济学家用行为经济学理论分别对亚马逊Amazon、Netflix、团购Groupon、 Zynga、Facebook和苹果的网络营销做了分析.

网络营销行为经济学分析: Amazon Apple Facebook…

- ~Wing~ - 互联网的那点事
7月1日,Wired杂志,中文名为连线,最近杜克大学 行为经济学家 丹•艾瑞里(Dan Ariely)撰文在线公司如何让我们共享更多,消费更多. Ariely经济学家用行为经济学理论分别对亚马逊Amazon、Netflix、团购Groupon、 Zynga、Facebook和苹果的网络营销做了分析.

社交网络分析:大伙如何看待新 iPad?

- - 爱范儿 · Beats of Bits
大数据分析渐渐流行起来,那么人们对于这次的苹果新品发布会又有什么看法呢. 《财富》汇集了两家公司基于 Twitter 给出的分析,目前看来过半评论是积极的. 第一个分析是 Crimson Hexagon 给出的,这家来自哈佛大学的公司分析了与新 iPad 有关的近两百万条 Twitter 消息,提炼出下列内容:.