最近美国陆军研究实验室(ARL)在GitHub上开源了他们一直使用的用于分析网络攻击的取证框架Dshell,这套框架具有良好的可拓展性,可以帮你迅速的分析网络数据包,溯源攻击者。Dshell在过去的五年中曾被用来分析美国国防部所遭受的攻击。 Dshell于2014年12月17日被托管到了GitHub上,访客已经超过了2000名,下载者也超过了100位,用户遍布全球18个国家。 美国陆军研究实验室负责人William Glodek表示,之所以开源这套框架,是希望他不仅仅只为美国国防部的网络安全服务,而是能为整个社会的网络安全与电子取证做出贡献。 Dshell下载地址 https://github.com/USArmyResearchLab/Dshell 安装方法 1.安装需要的模块: sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap sudo pip install pygeoip 2.配置pygeoip,把MaxMind data文件(GeoIP.dat, GeoIPv6.dat, GeoIPASNum.dat, GeoIPASNumv6.dat)移动到/share/GeoIP/ 3.使用make编译文件 4.运行./dshell,如果出现Dshell> prompt表示成功。 基本用法 decode –l 列出所有可用的decoder的基本信息。 decode –h 列出基本命令 decode -d <decoder> 显示一个decoder的详细信息,包括可用的命令 decode -d <decoder> <pcap> 对一个pcap文件执行decoder 示例 查找所有的DNS查询 跟踪并重组数据流 使用多个decoder来查看一个特定国家的流量 |