wireshark网络拓扑

Question

有没有人知道一个程序，可以获取wireshark (pcap)跟踪并将其转换为可视网络拓扑？

我有3个pcap文件，里面有“很多”数据，我真的想看看我是否能理解一些事情。

我尝试过网络挖掘器之类的东西，但没有任何东西可以给出数据的视觉提示。例如

​

Answer 1

你实际上问了两个问题：

1. 如何从网络跟踪中发现网络拓扑
2. 如何可视化发现的拓扑

拓扑发现

这是最难的部分。社区还没有开发出可靠的工具，因为网络流量显示出太多难以处理的crud。在这个领域出现的最有用的工具是Bro，它创建了高质量的connection logs。

直接提取通信图，即显示谁与谁通信的图。通过使用某种度量(数据包/字节/连接的数量)对边进行加权，您可以了解给定节点的相对贡献。

对于更复杂的分析，您必须开发一些启发式方法。例如，检测路由器可能涉及查看数据包转发行为或从DHCP ACK消息中提取默认网关。Bro (“网络的Python”)允许您以一种非常自然的形式对这种分析进行编码。

图形可视化

低调的方法包括生成GraphViz输出。Afterglow提供了一些包装，使输出更易于理解。要获得灵感，请查看http://secviz.org/，在这些图表上可以找到许多示例。它们中的大多数都是用余辉创建的。

还有Gephi，一个更花哨的图形可视化引擎，它支持variety of graph input formats。生成的图形看起来很花哨，也可以是explored interactively的。