657彩票

fatt:从pcap或实时网络流量中提取元数据和指纹

2019-06-16 来源:互联网 编辑:小狐 阅读人数:281
fatt是一个用于从pcap或实时网络流量中提取元数据和指纹(如和)的python脚本。其主要用例是监视蜜罐,但你也可以...

fatt:从pcap或实时网络流量中提取元数据和指纹(图1)

fatt是一个用于从pcap或实时网络流量中提取元数据和指纹(如和)的python脚本。其主要用例是监视蜜罐,但你也可以用于其他用例,例如网络取证分析。fatt当前支持的包括Linux,macOS和Windows。

注意,fatt使用pyshark(tshark的python包装器)因此性能并不是很好!但这问题不大,因为显然这不是你在生产中使用的工具。你可以使用其他网络分析工具(如,或)来处理那些更为严重的用例。 则是另一个非常不错的用于捕获和分析网络流数据的工具。

除此之外,我正在基于go的fatt版本它的处理速度会更快,你可以在基于gopacket的工具中使用它的库,例如packetbeat。我发布了其gQUIC库的初始版本。

特性

657彩票协议支持:SSL/TLS,SSH,RDP,HTTP,gQUIC。

657彩票即将添加:IETF QUIC,MySQL,MSSQL 等。指纹

657彩票JA3:TLS client/server 指纹

657彩票HASSH:SSH client/server 指纹

RDFP:我的标准RDP安全协议的实验性RDP指纹(注意其他RDP安全模式使用TLS并且可以使用JA3进行指纹识别) HTTP header 指纹 gQUIC/iQUIC 指纹(即将添加) JSON 输出安装

安装 tshark

657彩票你需要先安装tshark。确保你当前的版本为v2.9.0或更高版本。Tshark/Wireshak从版本v2.9.0将’ssl’重命名为’tls’fatt基于新版本的tshark编写。

安装依赖

cd fatt/ pip3 install pipenv pipenv install

或者如果你不想使用虚拟环境,只需安装pyshark:

657彩票要激活virtualenv,请运行pipenv shell:

657彩票$ pipenv shell Launching subshell in virtual environment… bash-3.2$ . /Users/adel/.local/share/virtualenvs/fatt-ucJHMzzt/bin/activate (fatt-ucJHMzzt) bash-3.2$ python3 fatt.py -h

或者,使用pipenv run在virtualenv中运行命令:

$ pipenv run python3 fatt.py -h

输出:

实时网络流量捕获:

JSON 输出:

数据包捕获文件(pcap)

让我们来看看最近的CVE-2019-0708 RDP漏洞(BlueKeep)捕获的Metasploit auxiliary scanner流量。

让我们用另一个CVE-2019-0708 PoC它:

657彩票这次我们没有看到RDP ClientInfo,这是因为PoC使用TLS(而不是标准的RDP安全协议)因此我们只能看到Negotiation Request,但如果你将数据包解码为TLS,则可以看到TLS clientHello和JA3指纹。以下将特定端口解码为另一个协议:

相关阅读

为全球用户24小时提供全面及时的中文资讯

657彩票声明:本站不提供任何视听上传、存储服务,所有内容均来自正规视频站点所提供的公开引用资源,如有侵权信息请联系我们删除

Top