蚁群/PCAP
< ANTFARM
使用蚁群解析 PCAP 文件
对于您的 PCAP 文件
1. Save your PCAP file as a text file (this will be further referred to as <pcap filename>)
注意:您的自定义脚本将自动保存到以下位置
.antfarm/scripts
当您在提示符($)处运行以下命令时
$ antfarm
您将在“custom”下看到您自定义脚本的名称。
在您的 PCAP 文件上运行蚁群 pcap 脚本(除非文件名的一部分,否则不要在文件名中包含方括号)
2. Run the following command at the prompt:
$ antfarm -e <environment name> custom <PCAP script filename> <PCAP text file>
3. For Antfarm version 0.3.0, the parse-pcap-file requires that network entries already exist in the database
for BOTH the source IP and destination IP for any record in the pcap file or it will quietly ignore the record.
For the newer version of Antfarm, if you use the—create-new-networks flag, it will create the network entry for
any new IPs.
对于单个 PCAP 文件,请使用
$ antfarm -e <environment name> custom <PCAP script> --create-new-networks <PCAP text file>
对于整个 PCAP 文件目录,请使用
$ antfarm -e <environment name> custom <PCAP script> --create-new-newtorks <PCAP directory name/>
此时,您已经使用蚁群中的自定义 PCAP 脚本(<PCAP 脚本文件名>)解析了您的 pcap 文件(<PCAP 文本文件>),并且已将解析的信息保存到您的环境(<环境名称>)中。
您可以通过运行以下命令在蚁群中查看输出(4. 对于流量视图,5. 对于网络视图)
4. $ antfarm -e <environment name> viz display-traffic 5. $ antfarm -e <environment name> viz display-networks
当从较大的 PCAP 文件显示流量流时,视觉效果在屏幕上变得难以阅读。幸运的是,有一个选项可以帮助最大程度地减少这种情况。“collapse-ports”选项允许您仅为在 PCAP 文件中发现的每个端口号包含一个节点。
6. $ antfarm -e <environment name> viz display-traffic—collapse-ports
最新版本的蚁群显示是静态的,使用上面的命令。如果您想查看显示的动画版本,请使用以下命令(以显示网络为例)
7. $ antfarm viz display-networks—active
有时,生成的 PCAP 文件太大,请使用以下命令将 PCAP 文件缩小到更合理的大小(通过数据包数量)
8. $ editcap -r <Original PCAP Filename> <New PCAP Filename> <range of packets>
Example:
$ editcap -r Old_PCAP_File New_PCAP_File 5001-7200
This example only takes packet numbers 5001-7200 from the old PCAP file and puts them in the new PCAP file.
示例 PCAP 脚本