美国陆军研究实验室开源取证框架Dshell

最近美国陆军研究实验室（ARL）在GitHub上开源了他们一直使用的用于分析网络攻击的取证框架Dshell，这套框架具有良好的可拓展性，可以帮你迅速的分析网络数据包，溯源攻击者。Dshell在过去的五年中曾被用来分析美国国防部所遭受的攻击。

Dshell于2014年12月17日被托管到了GitHub上，访客已经超过了2000名，下载者也超过了100位，用户遍布全球18个国家。

美国陆军研究实验室负责人William Glodek表示，之所以开源这套框架，是希望他不仅仅只为美国国防部的网络安全服务，而是能为整个社会的网络安全与电子取证做出贡献。

Dshell下载地址

https://github.com/USArmyResearchLab/Dshell

安装方法

1.安装需要的模块：

sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap

sudo pip install pygeoip

2.配置pygeoip，把MaxMind data文件（GeoIP.dat, GeoIPv6.dat, GeoIPASNum.dat, GeoIPASNumv6.dat）移动到/share/GeoIP/

3.使用make编译文件

4.运行./dshell，如果出现Dshell> prompt表示成功。

基本用法

decode –l

列出所有可用的decoder的基本信息。

decode –h

列出基本命令

decode -d <decoder>

显示一个decoder的详细信息，包括可用的命令

decode -d <decoder> <pcap>

对一个pcap文件执行decoder

示例

查找所有的DNS查询

跟踪并重组数据流

使用多个decoder来查看一个特定国家的流量