动态分析pcap

Question

我想创建一个迷你嗅探网络。我在前面的一个问题中询问了如何实时捕获和解密数据包。

现在我想分析一下它，我正在为它开发一个脚本，但是我可以动态地做吗？就像垃圾箱盖在运行和写入文件时一样，我能同时读取它并分析新附加的数据包吗？还是有更好的方法同时嗅探和分析？

我将使用两个树莓皮2's。一个用于嗅探和保存pcaps，另一个用于阅读，分析和填充一个数据库提取的信息。

Answer 1

正如垃圾箱盖文件所显示的，您可以简单地写到stdout，即dumpcap -w -。然后你可以在这之后放任何你想要的东西，比如

 dumpcap -w - | your-own-analysis    # analyze it directly
 dumpcap -w - | nc ip port           # send for analysis to some remote system

Answer 2

如果您想分析网络流量，并亲自测试您的编程能力(我在其他评论中读过)，您可以选择一种编程语言，并使用libpcap或类似的库来访问网络流量。

• python至少有替罪羊和pypcap来读取网络流量和做“东西”。
• 在C语言中，您可以使用libpcap。
• 有了java，您就拥有了jNetPcap。
• 有了C#，就有了PcapDotNet。
• 使用go，您可以使用gopacket。

我几乎可以肯定，其他编程语言会有自己的库或围绕libpcap包装。