關于PacketSifter

PacketSifter這款工具旨在幫助廣大研究/分析人員從捕捉到的數據包文件（pcap）中篩選出其中有價值或值得分析的流量數據。PacketSifter可以接受一個pcap文件作為輸入參數，并輸出多個分析結果文件。

當前版本的PacketSifter在經過優化改進之后，允許用戶與其進行更加精簡的交互，我們可以運行./packetsifter -h以了解新版本PacketSifter的具體使用方式。

工作機制

我們只需要向PacketSifter提供一個待分析的pcap文件，然后使用適當的參數運行篩選分析工作，PacketSifter將會給我們直接提供分析結果文件。

在運行PacketSifter主程序之前，為了保證分析正常執行，請先運行AbuseIPDBInitial.sh和VTInitial.sh。

工具要求

tshark - https://tshark.dev/setup/install/

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/packetsifter/packetsifterTool.git

命令行選項

a：針對DNS A記錄中的IP地址啟用AbuseIPDB查詢；

-h：打印幫助信息；

-i：輸入文件【必須】；

-r：解析pcap中的主機名；

-v：針對SMB/HTTP對象啟用VirusTotal查詢；

VirusTotal整合

PacketSifter可以通過VirusTotal API對通過SMB/HTTP發現的導出對象執行哈希查詢。

首先，我們需要在本地設備上安裝并配置好jq：

root@ubuntu:~# apt-get install jq

接下來，確保已經安裝好了curl：

root@ubuntu:~# apt-get install curl

現在，切換到項目根目錄下，并運行VTInitial.sh，然后提供你的VirusTotal API密鑰（64位）。關于如何獲取免費的VirusTotal API密鑰，可以參考這篇【文檔】。

VTInitial.sh的正常輸出如下圖所示：

使用-v參數運行PacketSifter以針對導出的HTTP和SMB對象啟用VirusTotal查詢。

成功執行后的VTInitial.sh輸出結果如下圖所示：

AbuseIPDB整合

PacketSifter可以針對DNS A記錄中的IP地址執行IP地理位置查詢或IP名聲查詢。

首先，我們需要在本地設備上安裝并配置好jq：

root@ubuntu:~# apt-get install jq

接下來，確保已經安裝好了curl：

root@ubuntu:~# apt-get install curl

現在，切換到項目根目錄下，并運行AbuseIPDBInitial.sh，然后提供你的AbuseIPDB API密鑰（80位）。

關于如何獲取免費的AbuseIPDB API密鑰，可以參考這篇【文檔】。

注意：免費的AbuseIPDB API密鑰每天只能執行1000次查詢。

AbuseIPDBInitial.sh的正常輸出如下圖所示：

使用-a參數運行PacketSifter以通過AbuseIPDB針對DNS A記錄執行查詢。

成功執行后的AbuseIPDBInitial.sh輸出結果如下圖所示：

工具使用樣例

root@ubuntu:~# ./packetsifter -i /tmp/testing.pcap -a -r -v

項目地址

PacketSifter：【GitHub傳送門】

參考文獻

【網絡安全學習攻略】

總結

以上是生活随笔為你收集整理的【网络安全】如何使用PacketSifter从pcap中筛选出有用的信息的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。