美國軍方研究實驗室發(fā)布了一款超級工具Dshell，官方的介紹是 Dshell is a network forensic analysis framework（Dshell是一個網(wǎng)絡(luò)取證分析框架），這是美國軍方使用了5年的網(wǎng)絡(luò)戰(zhàn)爭武器。

分析網(wǎng)絡(luò)協(xié)議這事，我以前在公司也做過，其實國內(nèi)大一點的公司都在做。一般做法是在在網(wǎng)絡(luò)邊界處用分光器把流量拆分2份，如果流量不大也可以在路由器上做span，目的就是把入口流量鏡像一份用于分析，如果只想鏡像一個機器的流量就更簡單了，方法很多，這里就不介紹了。

有些流量我們需要實時分析并出結(jié)果，有些流量我們需要保存慢慢分析，2種需求分析手段是一樣的，但是各有特點。實時分析比較消耗cpu和內(nèi)存，所以實時分析的數(shù)據(jù)盡可能少，取最關(guān)鍵最小值即可。離線分析需要把數(shù)據(jù)存下來慢慢分析，因為網(wǎng)絡(luò)數(shù)據(jù)包都比較大，存儲也是有一定時間要求的，所以我們需要盡快的把存下來的數(shù)據(jù)分析完然后釋放空間。

Dshell的官方地址如下：

https://github.com/USArmyResearchLab/Dshell

可以利用Dshell快速開發(fā)的插件去支持網(wǎng)絡(luò)數(shù)據(jù)包捕獲的分析。

關(guān)鍵特性:

• 強大的流重組能力

• 支持 IPv4 和 IPv6

• 定制輸出

• 數(shù)據(jù)鏈解碼

預(yù)備知識：

• Linux (developed on Ubuntu 12.04)

• Python 2.7

• pygeoip, GNU Lesser GPL

  • MaxMind GeoIP Legacy datasets

• PyCrypto, custom license

• dpkt, New BSD License

• IPy, BSD 2-Clause License

• pypcap, New BSD License

安裝：

基本用法：

使用案例：

分析流量包里的DNS查詢

官方聲明開源目的

陸軍研究實驗室的網(wǎng)絡(luò)安全部門主任William Glodek在一份聲明中表示，他希望該框架對私企用戶和學(xué)術(shù)界有所幫助，并希望他們能夠貢獻(xiàn)自己的模塊來擴展該框架的功能。