LINUX.ORG.RU
решено ФорумAdmin

ndpi разбор pcap файлов

 ,


0

1

Никто не встречал готового решения, когда скармливаешь софтине pcap файл, она его разбирает на потоки и смотрит что за протокол по сигнатурам и возвращал список потоков (в формате srp-dst ip + proto)?

Что-то похожее intelfx искал уже в 2017 (сейчас тему не могу отыскать), но там все закончилось самописными скриптами.

★★★★★

Последнее исправление: Kolins (всего исправлений: 1)
Хотелось бы поспрашивать на тему OmniOS, Illumos и т.п. по мотивам другой старой ветки в архиве
Опции и монтирование дисков fstab

Что-то похожее intelfx искал уже в 2017

Не, я банально парсил netflow.

По теме:

скармливаешь софтине pcap файл, она его разбирает на потоки и смотрит что за протокол по сигнатурам и возвращал список потоков (в формате srp-dst ip + proto)

Hot take: «софтина, которая смотрит что за протокол по сигнатурам» звучит как wireshark :)

intelfx ★★★★★
()
Ответ на: комментарий от Kolins

Да, но с большими подробностями, например отличать tls от openvpn и в sni заглядывать

Выбери нужные поля из tshark -G fields и добавь в -e.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Спасибо, буду изучать список. но как я понимаю L7 сигнатуры он не умеет проверять, как тот-же nDPI в iptables, или все там есть просто список нужно внимательно изучать?

Kolins ★★★★★
() автор топика
Ответ на: комментарий от vel

Не натыкался на него, посмотрю что умеет

Kolins ★★★★★
() автор топика
Ответ на: комментарий от vel

Забавно, в oldstable и testing есть, в stable нет...ох уж этот debian, вообще похоже на то что нужно, спасибо

Kolins ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Хотелось бы поспрашивать на тему OmniOS, Illumos и т.п. по мотивам другой старой ветки в архиве
Admin
Опции и монтирование дисков fstab