У меня есть часовой файл PCAP, который содержит около 60 отдельных сетевых атак, выполненных на нашей тестовой сети здесь, на работе. Каждая атака происходит с уникального IP-адреса, который в течение часа не использовался где-либо еще.
Я хотел бы сделать 60 pcap из этого одного файла, но также включить фоновый трафик.
Нет никакой реальной закономерности в том, когда происходят атаки (то есть их может быть 6 в первую минуту, а затем 1 может работать в течение следующих 10 минут).
Я могу разделить на файлы, которые просто фиксируют атаку, но я действительно заинтересован в том, чтобы там был фоновый трафик.
Чтобы прояснить причину, по которой мне это нужно, я использую эти данные, чтобы попытаться обучить сетевой датчик на основе машинного обучения.
Предполагая, что у вас есть список IP-адресов атак в файле с именем attack-ips, необработанный дамп в capture.pcap, и что диапазон атаки составляет 1.0.0.0/24, следующий скрипт использует tcpdump должен выполнить это:
while read ATTACKIP; do
tcpdump -n -r capture.pcap -w "$ATTACKIP.pcap" "host $ATTACKIP or not net 1.0.0.0/24"
done < attack-ips
Фильтр выбирает трафик, который идет либо на атакующий IP-адрес, либо не на него, либо из диапазона атаки (чтобы исключить все остальные IP-адреса атаки).
Ты можешь использовать PcapSplitter который является частью PcapPlusPlus пакет. Вы можете использовать этот инструмент для разделения файла pcap по IP-адресу клиента, и в вашем случае вы, вероятно, получите 60 файлов, каждый из которых содержит одну атаку. Пожалуйста, используйте инструмент следующим образом:
PcapSpliter.exe -f <YOUR_PCAP> -m client-ip
вы не упомянули используемую вами ОС, но этот инструмент поддерживает Win32, Linux и Mac)
SplitCap может разделить пакеты для каждого отдельного IP-адреса в отдельные файлы pcap всего одной командой:
SplitCap.exe -r capture.pcap -s host
После этого у вас будет один файл pcap для каждого IP-адреса в файле capture.pcap. Каждый файл будет содержать все пакеты, приходящие и исходящие от этого конкретного IP-адреса. Сладко и просто!
SplitCap бесплатен и доступен здесь: http://www.netresec.com/?page=SplitCap