Как и NetworkMiner (см. Анализ пакетов с помощью с помощью NetworkMiner), PcapXray — это очередной инструмент для анализа трафика. В статье покажу, как установить и использовать PcapXray на Kali Linux.
Еще по теме: Анализ трафика с помощью сканера ZUI
Перехват и анализ трафика с помощью PcapXray на Kali Linux
Некоторые из основных функций PcapXray — идентификация вредоносного трафика, веб-трафика и даже трафика Tor. PcapXray визуализирует захваченные пакеты и строит диаграмму, включающую взаимодействующие устройства, подключения и извлеченные файлы.
Установка PcapXray на Kali
Чтобы установить PcapXray на Kali, выполните команду:
1 |
sudo git clone https://github.com/Srinivas11789/PcapXray.git |
Клонирование PcapXrayзаймет некоторое время, так как размер файла составляет 115 МБ.
Далее нужно установить graphviz:
1 |
sudo apt install graphviz |
Установите python3-pil.imagetk:
1 |
sudo apt install python3-pil python3-pil.imagetk |
Используйте команду ls для отображения списка папок, а затем перейдите в папку PcapXray:
1 |
cd PcapXray |
Установите зависимости PcapXray:
1 |
pip3 install -r requirements.txt |
Это может занять некоторое время, так как будут загружены pyshark, Stem, Pyvis и другие необходимые компоненты.
Загрузка PCAP файла
Если у вас нет файла .pcap, скачайте по этой ссылке (пароль Infected).
Использование PcapXray для анализа трафика
Находясь в каталоге PcapXray, запустите PcapXray:
1 |
python3 Source/main.py |
Нажав на кнопку Browse, выберите файл .pcap.
Нажмите Analyze (Анализировать), и после анализа файла, нажмите Visualize (Визуализировать).
Нажмите на InteractiveMagic (Интерактивная карта), чтобы увидеть схему устройств и взаимодействие между ними.
Эти представления могут помочь точно определить, какие устройства обменивались данными друг с другом, а также помочь в анализе инцидентов.
Можно сузить область просмотра, нажав на кнопку All (Все) в меню над визуализацией трафика и выбрав тип трафика, который нужно просмотреть.
Для примера выберите Malicious (Вредоносный трафик), а затем нажмите еще раз на Visualize (Визуализировать).
Здесь мы видим трафик, помеченный как вредоносный, а также IP-адреса и адреса шлюзов, связанные с взаимодействующими устройствами. Если изменить представление трафика на HTTPS, а затем нажать кнопку Visualize еще раз, можно будет увидеть веб-трафик HTTPS и, таким образом, начать собирать или воссоздавать сценарий между вредоносным ПО, устройствами.
Заключение
На этом все. Теперь вы знаете, как использовать PcapXray на Kali Linux. Это не лучший, но довольно неплохой инструмент для анализа и визуализации трафика. Единственный недостаток — установка. В следующей статье я расскажу об анализе pcap онлайн.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как расшифровать трафик HTTPS
- Использование Xplico для анализа трафика
- Перехват трафика в локальной сети по проводу