Long-Term Traffic Capture Met Wireshark

By | 12.08.2017

Long-Term Traffic Capture Met Wireshark ring is grootLong-Term Traffic Capture Met Wireshark

Door stretch | Woensdag 9 maart, 2011 om 03:46 UTC

Een lezer vroeg onlangs om mijn mening op het opbouwen van een server te worden gewijd aan het verkeer vastleggen netwerken met Wireshark. Terwijl Wireshark is een uitstekend pakket analyse applicatie, is de grafische interface heel veeleisend voor de systeembronnen (geheugen in het bijzonder) en is bedoeld voor gebruik in low-throughput omgevingen of offline packet-analyse (waar de pakketten worden gelezen uit een bestand op de harde schijf).

Voor hardnekkige verkeer verzamelen, zoals die uitgevoerd door een IDS / IPS, veel mensen ervoor kiezen om de populaire packet capture utility tcpdump gebruiken. Als alternatief kan de Wireshark pakket bevat een zeer klein command line utility (minder dan een tiende van de grootte van tcpdump) genoemd dumpcap. Ik legde in het artikel snuiven met Wireshark als een niet-root gebruiker die Wireshark is gebaseerd op de dumpcap executable voor haar core packet vastleggen functionaliteit, met meer complexe functies gelost aan de Wireshark GUI en tshark. In feite is de Wireshark capture opties dialoogvenster foto hieronder is in de eerste plaats een wrapper voor argumenten doorgegeven aan dumpcap.


dumpcap kan onafhankelijk worden uitgevoerd van Wireshark om pakketten opnemen naar een bestand of serie bestanden op schijf, en zorgt voor een efficiënte langdurige capture oplossing. Verder, zoals tcpdump, het is gebouwd op de libpcap bibliotheek en gebruikt dezelfde capture filter syntax.

Wij kunnen een zeer eenvoudige packet capture te starten met een beroep op dumpcap met de onderstaande commando. -i eth0 specificeert de capture interface en w packets.cap specificeert de naam van de capture-bestand worden geschreven. Ctrl-C eindigt de vangst netjes.

Nu hebben we een 942 KB capture-bestand dat we kunnen openen in Wireshark voor analyse op ons gemak.

Natuurlijk, als we van plan om gigabytes aan gegevens vast te leggen, een enkel bestand wordt te onhandig te beheren. We kunnen vertellen dumpcap om te beginnen met het schrijven van een nieuw bestand elke keer dat het huidige bestand een bepaalde grootte (in kilobytes) bereikt. De bestandsnaam opgegeven zal worden toegevoegd met een serienummer en tijdstempel om uniciteit te garanderen.

We kunnen ook gebruik maken van de duur zoekwoord in plaats van de bestandsgrootte tot een lengte van tijd te geven (in seconden) te besteden aan het invullen van elk bestand (bijvoorbeeld een uur of 3600 seconden). En om te voorkomen dat uiteindelijk het vullen van de hele harde schijf met capture-bestanden, kunnen we ook de parameter bestanden naar het opzetten van een ring buffer: Zodra het maximum aantal bestanden zijn opgeslagen, wordt het oudste bestand verwijderd en een nieuw leeg bestand wordt aangemaakt in de plaats. De voorbeeld hieronder laat zien hoe we kunnen instrueren dumpcap een roterende record van de laatste 24 uur ter waarde van het verkeer te behouden:

Zoals ik al eerder zei, kunnen we ook een libpcap filter om de soorten verkeer gevangen genomen door dumpcap beperken opgeven. Bijvoorbeeld, de volgende opdracht vangt alleen DNS-verkeer bestemd voor of afkomstig uit 208.67.220.220:

Een volledige beschrijving van libpcap filter syntax is beschikbaar in het libpcap-filter manpage.

Over de auteur

Jeremy Stretch is een netwerk engineer die in de Raleigh-Durham, North Carolina gebied. Hij staat bekend om zijn blog en spiekbriefjes hier bij Packet Life. U kunt hem bereiken via email of volg hem op Twitter.

Ik had veel geluk in het verleden actief is op lange termijn vangt met een ring buffer van enkele honderden 200MB bestanden met de Wireshark GUI. het uitschakelen van de "Lijst bijwerken van pakketten in Real Time" optie toegestaan ​​Wireshark te lopen voor meer dan een week in een tijd continue opnamestand. Het scrollen display kan geen gelijke tred houden met een hoog volume packet capture, en uiteindelijk krijgt zo ver achter dat het nog steeds de gegevens is de weergave van de eerste capture bestand in de buffer als Wireshark is een poging om dat bestand te overschrijven. Op dit punt, Wireshark opgeeft en crashes.

Ik heb zeker in staat om zeer langlopende opnames maken met de Wireshark GUI, maar net als de vorige commenter die ik heb gevonden wat je nodig hebt om de real-time packet lijst voor de stabiliteit uit te schakelen. Ik heb ook genomen om (op een Windows PC) vrijblijvend IP en alle andere protocollen naast de WinPCap driver van de interface en het doden van vreemde proces dat wordt uitgevoerd op de machine. Stel macht voorkeuren om niets te doen bij het sluiten van het deksel van de laptop, zorg ervoor dat de rest van de kracht profiel is ingesteld nooit om te slapen of spin iets naar beneden.

Ik heb ook vond het selecteren van de ring buffer parameters aan een minderjarige kunst. Je wilt niet dat de buffer-bestand naar ergens in de buurt van de hoeveelheid fysiek RAM-geheugen in uw capture machine. Je hoeft ook niet willen zijn het draaien van de file over elke 5 minuten. U wilt voldoende ruimte op de harde schijf voor het besturingssysteem kras / swap ruimte te houden. En op basis van de frequentie van het probleem en de mogelijkheid om terug naar de site te krijgen tot de bestanden die u nodig hebt om ervoor te zorgen dat de ring is groot genoeg dat je het voorval te wijten aan overschrijven niet verliest verzamelen.

In extreme gevallen die ik heb gevangen 50-60 GB aan gegevens in 500MB plakken in de loop van een week en had geen problemen met de vangst machine met behulp van dit recept.

Met al dat gezegd, zal ik zeker spelen met dumpcap meer. Een veel schonere optie, vooral op een Linux host.

Bedankt voor de schrijf ik wist over tcpdump maar niet dumpcap zal ik spelen met zo snel mogelijk.

Eigenlijk op Linux vond ik het gebruik van iptables & ulogd meer schaalbare oplossing voor het verkeer vast te leggen zijn:

1) iptables -t ruwe -Een PREROUTING -i eth0 -p tcp j ULOG –ulog-qthreshold 50

2) configureren ulod.conf op te nemen:

Voordeel is dat deze aanpak mogelijk maakt vrij complexe filters met iptables met het filteren van pakketten voorkomende heel vroeg in kernel. Geen herstart van het vastleggen van nut is nodig als filters moeten veranderen. Extra tuning is om te configureren interrupt het samenvoegen van de NIC en de hoeveelheid geheugen uitbreiden voor de kernel voor echt hoge packet tarieven (gt; 200000 pak / sec) plus robuuste schijfsubsysteem nodig is.

Eigenlijk een alternatief voor gerichte captures gericht op specifieke protocollen zoals dns, rtp, radius en ga zo maar we gebruiken tshark (meegeleverd met wireshark) om tekst gedecodeerd vangt doen en de ontleed uitgang te laden rechtstreeks in een DB.

Dit is vrij gemakkelijk te bereiken en is een zeer, zeer handige tool om een ​​punt in de tijd weergave van uw netwerk te produceren. Mits je weet wat je geacht worden te zien op uw netwerk.

IK HOU VAN JE! Dit is precies wat ik nodig had man, je hebt mijn leven gered vandaag

Afrekenen http://www.openfpc.org het allemaal de set van tools om een ​​volledig packet capture-server en een leuke InstallScript rechtvaardigen om ze allemaal samen te werken met een SQL-database voor sessie tracking en een leuke web gui voor het zoeken en packet extractie. Het maakt gebruik van daemonlogger van Sourcefire voor zijn packet dump daemon.

Als u wilt dumpcap draaien op Windows, er is nog een stap op weg naar het.

De interface naam op Windows-systemen zijn niet eenvoudig eth0 of wlan0 graag in Linux. Hardlopen dumpcap met -D switch zal de lijst van interfaces met GUID weer te geven. Kopieer de GUID van de noodzakelijke interface en doorgeven als argument voor -i switch en voer dumpcap weer.

Bedankt, leuk en makkelijk inzicht richtlijn.

Bron: packetlife.net

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

negentien + 14 =