Dshell 是一个基于Python的网络取证分析工具包.该工具包由美国陆军研究实验室开发.该开源工具包的发布于2014年.该工具包的主要重点是轻松进行取证调查.
该工具包由大量解码器组成,列于下表.
Sr.No. | 解码器名称&描述 |
---|---|
1 | dns 这用于提取与DNS相关的查询 |
2 | reservedips 识别DNS问题的解决方案 |
3 | 大流量 netflows列表 |
4 | rip-http 用于从HTTP流量中提取文件 |
5 | 协议 用于识别非标准协议 |
美国陆军实验室维护了克隆存储库GitHub在以下链接 :
https://github. com/USArmyResearchLab/Dshell
clone由用于安装此工具包的脚本 install-ubuntu.py()组成.
安装成功后,它将自动构建可执行文件和将在以后使用的依赖项.
依赖关系如下 :
dependencies = { "Crypto": "crypto", "dpkt": "dpkt", "IPy": "ipy", "pcap": "pypcap" }
此工具包可用于对付pcap(数据包捕获)文件,这些文件通常在事件期间或警报期间记录.这些pcap文件由Linux平台上的libpcap或Windows平台上的WinPcap创建.
Scapy是一个基于Python的工具,用于分析并操纵网络流量.以下是Scapy工具包的链接 :
http://www .secdev.org/projects/scapy/
此工具包用于分析数据包操作.它能够解码大量协议的数据包并捕获它们. Scapy与Dshell工具包的不同之处在于向研究者提供了有关网络流量的详细描述.这些描述已经实时记录.
Scapy能够使用第三方工具或操作系统指纹识别进行绘图.
请考虑以下示例.
import scapy, GeoIP #Imports scapy and GeoIP toolkit from scapy import * geoIp = GeoIP.new(GeoIP.GEOIP_MEMORY_CACHE) #locates the Geo IP address def locatePackage(pkg): src = pkg.getlayer(IP).src #gets source IP address dst = pkg.getlayer(IP).dst #gets destination IP address srcCountry = geoIp.country_code_by_addr(src) #gets Country details of source dstCountry = geoIp.country_code_by_addr(dst) #gets country details of destination print src+"("+srcCountry+") >> "+dst+"("+dstCountry+")\n"
此脚本详细说明网络数据包中的国家/地区详细信息,彼此进行通信.
上述脚本将生成以下输出.