琳迪软件(LINDI.CC)

  • 首页
  • 原创内容
  • 技术分析
  • 实用工具
  • 业界资讯
琳迪软件(LINDI.CC)
让电子取证更简单
  1. 首页
  2. 实用工具
  3. 正文

Joy:捕获数据包、分析网络流量数据、网络取证及安全监控工具

2017年11月5日 605点热度 0人点赞 0条评论

Joy是一个捕获数据包、分析网络流量数据、网络研究取证及安全监控的工具。

概述

Joy是一个BSD许可的基于libpcap的软件包,用来从实时网络流量或捕获的数据包文件提取数据特征,使用类似于IPFIX或者Netflow的流量导向模式,之后在JSON中表现这些数据特征。Joy还包括了一个可以应用这些文件的分析工具。Joy还能被用来探索大规模数据,尤其是跟安全和威胁有关的数据。

JSON是为了使数据分析工具的数据输出更简单。当JSON输出文件非常长时,JSON文件可以非常小,并且对压缩的响应很好。

Joy可以被配置来获取intraflow数据,这些数据是在网络流量中出现的事件的数据和信息,包括:

序列的长度、IP包到达的时间、数据包的可配置数目;
一个刘的数据部分中字节的经验概率分布以及这个值导出的熵;
序列的长度和TLS记录到达的时间;
其他非加密TLS数据,比如提供密码组的列表、被选择的密码租、clientKdyExchange字段的长度;
与流相关的进程名,正在运行的pcap主机上中为流发起或终止。

Joy是用户安全研究、取证和小规模网络监测来进行漏洞检测、威胁检测、非法行为检测和有害行为检测。研究人员、管理人员、渗透测试人员和安全运营团队可以很好的利用这些信息,保护被监测的网络免受攻击,在某些漏洞情况下,可以通过提高防御姿态保证广泛社区的利益。作为网络监测工具,Joy可能被滥用,所以当你不是管理员或者网络所有人时,请不要使用Joy。

在正向心理学中,流是一种状态,一个人执行一个活动,完全沉入近一种积极性十足、深入参与、快乐的感觉。

Joy是alpha/beta软件,我们希望你使用它并从中受益,但是你要明白,它不适合生产。

信用

这个包是由来自思科高级安全研究小组(ASRG)的David McGrew和Blake Anderson {mcgrew,blaander}@cisco.com 所写。

快速开始

构建

Joy已经成功的在Linux(Debian, Ubuntu和CentOS)和Mac OSX上被测试和运行。这两种系统都使用gcc和GNU make构建,但是它应该也可以在其他开发环境中正常运行。

首先,从github上下载包,并切换到joy所在的目录;

在主目录中运行 make 来构建包:

[joy]$ make

程序被编译、连接、清除、复制到合适的主目录下。它还会执行测试脚本和一个单元测试程序。

用来从pcap文件或者实时数据捕获提取的数据特征的主程序是pcap2flow,它在src/subdictory下。它build成功后被复制到joy主目录下。它可以在该路径下运行或安装,这样它会在Linux或Mac OSX上作为守护程序自动运行。

运行和配置

为了了解pacp2flow是如何被配置的,读取其中一个配置文件(linux.cfg或macosx.cfg)。在脱机模式下处理pcap文件,运行:

[joy]$ ./pcap2flow [ OPTIONS ] filename [ filename2 ... ]

e.g.

[joy]$ ./pcap2flow bidir=1 output=data.json filename

为了在练级模式下运行数据包捕获,使用相同的命令格式,但是要包括一个interface=<value>命令的options,并且省却命令行中的文件名。

e.g.

[joy]$ sudo ./pcap2flow interface=eth0 bidir=1 output=data.json

它有很多命令行选项,所以我们不在命令行中使用所有选项,你可能想要程序读取一个配置文件。这样的两个分布式文件,linux.cfg和macosx.cfg。如果你想要改变程序的默认值(为了准确的捕捉你感兴趣的数据,你可能会这样做),之后复制这份配置文件。

使用不同名称创建一个本地副本,防止Joy更新时,你的配置文件被破坏。

安装

要在系统上安装这个软件,你需要先build它。运行install-sh脚本(root或者使用sudo)来安装这个包。

[joy]$ sudo ./install-sh

如果你运行不带参数的脚本,那么默认时,配置文件就会被安装到/etc/目录。要安装一个不同的陪皮质文件,你要使用-c来安装脚本:

[joy]$ sudo ./install-sh -c local-config-file.cfg

你还可以配置匿名地址,它包含内部子网文件。这些子网的默认文件是internal.net;你可以使用-a来更改配置。同理,你可以更改IP地址的watchfile(使用-w)或者更改用于通过scp上传文件的SSH私钥(使用-k)。使用-h来获得帮助、查看所有安装说明。

文件

手册将作为包的一部分被自动建立、安装。请参阅文件pcap2file.1或者之后被运行的install-sh脚本,通过"man pcap2flow"进入手册。

测试

运行脚本./pcap2flow_test.sh和src/unit_test来测试程序。这些程序都会指出命令行执行成功还是失败。

标签: Joy 网络取证
最后更新:2017年11月5日

LINDI

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

最新 热点 随机
最新 热点 随机
[更新]微信PC版DAT文件解密工具V0.5 [更新3.3.0.115]微信PC版防撤回+多开补丁 [更新]微信PC版聊天记录解密工具 [更新V1.1]QQ聊天记录MHT转HTML工具(支持批量转换) [更新 V1.2]词频分析工具 GitHub关键字扫描开源工具推荐 服务器入侵溯源小技巧整理
Joy:捕获数据包、分析网络流量数据、网络取证及安全监控工具 利用Volatility进行Windows内存取证分析(一):初体验 网络流量抓取与还原系统Xplico架构 QQ截图+搜狗OCR+百度OCR+有道OCR+翻译 利用Volatility进行Windows内存取证分析(二):内核对象、内核池学习小记 针对国外一款超火约会软件Tinder的取证分析 基于统计学的Hashcat密码生成规则:Hob0Rules
最近评论
LINDI 发布于 3 个月前(12月21日) 已发送, 请查收!
LINDI 发布于 3 个月前(12月21日) 已发送, 请查收!
LINDI 发布于 3 个月前(12月21日) 已发送, 请查收!
LINDI 发布于 3 个月前(12月21日) 已发送, 请查收!
LINDI 发布于 3 个月前(12月21日) 已发送, 请查收!
LINDI 发布于 3 个月前(12月21日) 可以看啊, 或者把你的样本文件发我, 我试试, 看是否有bug
LINDI 发布于 3 个月前(12月21日) 可以用啊, 没问题的.
分类
  • 业界资讯
  • 原创内容
  • 实用工具
  • 技术分析
标签聚合
CryKeX netcat 解密 证据固定 防撤回 linux 聊天记录 CTF hashcat 安卓镜像 微信 Volatility 计算机取证 Xplico 内存取证 网络取证 Hashview 文件系统
联系方式

点这里联系我
邮箱:lindisoft@hotmail.com

归档
  • 2022年7月
  • 2021年7月
  • 2021年4月
  • 2020年4月
  • 2019年7月
  • 2018年10月
  • 2018年8月
  • 2018年7月
  • 2018年6月
  • 2018年5月
  • 2018年4月
  • 2017年12月
  • 2017年11月
  • 2015年7月
  • 2015年6月

COPYRIGHT © 2021 lindi.cc. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang