0x00 致谢
感谢FB的老司机给翻译的文章,么么哒~~ FB的介绍FB_joy
joy包的官网:joy
0x01 joy概述
joy是个BSD许可的,基于libpcap的软件包,用于从实时流量或者已捕获的数据包文件中提取数据包特征,使用面向流的模型,随后以JSON文件的方式将数据特征呈现出来。它同时提供适用于该文件的分析工具。Joy能够浏览大规模数据,尤其是安全和威胁相关的数据。
使用JSON是为了使输出更容易被分析工具识别使用。当输出较长时,json文件可以相当小,且他对压缩的响应很棒。
这确实很赞!具体看joy的文档吧。
0x02 安装joy
下载源码
git clone https://github.com/davidmcgrew/joy.git
编译-链接-清除-复制到特定的主目录
make
用于离线分析pcap文件和在线实时捕获数据来提取数据特征的主程序是pcap2flow,它未编译时处于子目录src中,当make后就会被复制到joy的主目录下。它在该主目录下被执行以下命令来进行运行和安装,那么pcap2flow则会成为linux的守护进程开机自动运行。
sudo ./install-sh
要在系统中安装joy,则必须执行之前的make。随后需要以root权限执行
sudo ./install-sh
就可以安装这个包了。
如果我们不带参数运行该脚本,那么默认的配置文件将被安装到/etc/p2f目录下。要想安装不同的配置文件,那么我们可以通过-c参数来指定不同的配置文件。其中joy主目录下有两个配置文件linux.cfg和macosx.cfg,都可以为我们编写自己的配置文件作参考。
sudo ./install-sh -c my-config-file.cfg
当然我们可以在install-sh后面加上-h来获取更多帮助文档。
PS: 尝试过在SUSE系统上安装,由于找不到chkconfig和update-rc.d这两个命令,所以很是麻烦,我暂时没找到好的替代方案。而在ubuntu上并没有这个问题,因此,我选择了ubuntu。
0x03 试用pcap2flow
离线分析pcap数据
./pcap2flow [OPTIONS] output=data.json filename.pcap [filename2.pcap ...]
在线实时分析流量数据
sudo ./pcap2flow interface=eth0 bidir=1 output=data.json
比如我们要抓取本网卡上的web数据,并进行实时流量分析。
sudo ./pcap2flow interface=eth0 bidir=1 output=data.json
随后我们打开web服务器,从外网访问服务器,等访问成功后关闭刚启动的程序。可以看到当前目录下已经有data.json文件出现了。
随后在saltUI目录下,键入命令:
python server.py
可能会提示你numpy模块不存在,解决方案:
sudo apt-get install python-numpy
随后在8080端口开启了服务器。
在浏览器上输入该url进入分析工具。
点击Upload JSON File即可上传待分析的json文件。
上传后即可对JSON文件进行分析了。如图
可以观察到这个行为的SA,DA,SP,DP等内容。
0x04 深入理解JOY & pcap2flow
刚才只是使用当前目录下的pcap2flow,当我们安装了JOY之后,我们就可以直接使用它了。
pcap2flow 配置文件
首先粗略介绍下。/usr/sbin/pcap2flow是我们可以在命令行直接运行的命令,同之前介绍的方式一样,他可以截获数据包,分析后以json方式导出。
然而在命令行中直接输入参数太长太蛋疼,所以本程序提供配置文件导入参数的方式-x config.cfg,而pcap2flow在安装时将其配置文件安装在了/etc/p2f目录下了,其下的linux.cfg就是我们的模板。对模板进行修改,以-x /etc/p2f/linux.cfg进行指定,就可以完成命令参数的输入了,是不是很方便呢~
由此,我们的命令就变成了:
sudo pcap2flow -x /etc/p2f/linux.cfg
下面我们进入/etc/p2f/linux.cfg看看。其中注释啥的我删了哈~
interface = eth0
promisc = 1
daemon = 0
output = data.json
outdir = /path/to/output
logfile = /var/log/p2f
count = 200
keyfile = /etc/p2f/upload-key
retain = 1
bidir = 1
num_pkts = 200
type = 1
zeros = 0
dist = 1
entropy = 1
exe = 1
tls = 1
idp = 1500
bpf = ip host A.B.C.D and tcp port 80
anon = /etc/p2f/internal.net
verbosity = 0
以上是我刚配置的cfg文件。一点一点讲,恩。
首先是设置监听的网卡,虚拟机里是eth0(你的机子是用哪个网卡写的我就不造了):
interface = eth0
接着是设置网卡的混杂位,混杂位为1,则我的网卡可以监听目标地址非本网卡的数据包信息。为0,则只能监听针对自己的信息。
promisc = 1
随后是设置本程序是否在后台作为守护进程运行,为了方便操控进程和读取JSON文件,我选择,不。
daemon = 0
设置output文件的名称。PS:这里有个问题,我设置一个名称,输出文件的末尾总是自己加个0,不知道为何。
output = data.json
设置输出目录。
outdir = /path/to/output
设置日志文件,该文件用于接收程序的error warning info debug信息。要是设置为none的话,这些信息就会在stderr中打印。
logfile = /var/log/p2f
设置流记录的条数。用于表示每个输出文件中的记录条数。这里每个输出的文件里可以装100条记录。
count = 100
设置SSH私钥文件。
keyfile = /etc/p2f/upload-key
上传文件后是否删除。 1是不删除。
retain = 1
设置BPF过滤器。用于表示我该抓哪些包。
bpf = ip host A.B.C.D and tcp port 80
设置抓包格式。0是简单模式,1是概览模式,2是详尽模式。我设置为简单模式。不明为何只有verb=0导出的输出文件才能被salt读取。
verbosity = 0
详尽模式虽然有很多信息,但是还是无法深入到应用层协议内部去,很可惜。
saltUI 配置文件
saltUI是joy提供的分析用Web UI界面,其配置文件saltUI/laui.cfg可以设置上传的json分析结果中的各个表项,以及其他的映射。我现在只用了表项这一栏。
# fields to display in the UI
display_field sa Source_Address 0
display_field da Dest.Address 1
display_field sp Source_Port 2
display_field dp Dest._Port 3
display_field ip Inbound_Packets 4
display_field op Outbound_Packets 5
#display_field ib Inbound_Bytes 6
#display_field ob Outbound_Bytes 7
display_field pr Protocol 8
#display_field scs Selected_Ciphersuite 9
#display_field tls_ckl TLS_CKL 10
#display_field tls_v TLS_Version 11
# logistic regression classifiers
classifier Malware logreg logreg_parameters.txt logreg_parameters_bd.txt
classifier TLS logreg logreg_parameters_tls.txt logreg_parameters_tls_bd.txt
# "mapping" classifiers, use "_\tval" for unknown values
#classifier CKL mapping 10 client_key_length.txt
#classifier SCS mapping 9 ciphersuites_classifier.txt
其中的Protocol域是用于表示协议号的,我抓到的经常是6,即TCP。
0x05 总结
经过尝试,发现即使是在verbose=2的模式下进行数据获取,也无法识别并解析应用层协议内部的数据,这样的功能无法满足我们的需求,即获知通过数据的内容,并对其进行基于特征的日志导出。