如何使用Caronte在CTF比賽中完成網絡流量分析
責編:gltian |2021-06-29 10:44:19
關于Caronte
Caronte是一款功能強大的網絡流量分析工具,可以幫助廣大研究人員在CTF比賽或其他網絡攻擊/防御活動中對捕捉到的網絡流量進行分析。該工具能夠重新組裝pcap文件中捕獲的TCP數據包以重建TCP連接,并分析每個連接以查找用戶定義的模式。這里所謂的模式,支持用戶使用正則表達式或特定于協議的規則來進行定義。分析過程中的連接流將會存儲至數據庫中,并可以通過Web應用程序以可視化的形式訪問。除此之外,Caronte還提供了非常實用的REST API。
功能介紹
支持Docker-Compose,可立即安裝使用;
無需配置文件,可通過GUI或API修改配置;
可通過curl或GUI加載待分析的pcap文件;
支持包含特定字符串的規則以識別連接;
可通過服務類型對連接進行標識;
可通過地址、端口、時間和匹配規則等過濾特定連接;
通過時間軸顯示每分鐘的分析統計;
支持正則表達式搜索;
可對檢測到的HTTP連接進行自動化重組;
可通過多種形式查看或導出連接內容;
在JSON樹狀圖查看器中顯示JSON內容,在獨立窗口中呈現HTML代碼;
連接內容視圖中高亮顯示匹配規則的內容;
支持IPv4和IPv6;
工具安裝
目前有兩種方法來安裝Caronte:
使用Docker和Docker-Compose,最簡單也最快速;
手動安裝依賴組件并編譯項目;
使用Docker安裝
首先,將該項目源碼克隆至本地:
git clone https://github.com/eciavatta/caronte.git
在命令行終端中,切換到項目根目錄,然后運行下列命令:
docker-compose up -d
等待鏡像編譯完成之后,就可以在瀏覽器中訪問“http://localhost:3333”以使用Caronte了。
手動安裝
首先,我們需要安裝好下列依賴組件:
go >= 1.14 https://golang.org/doc/install
node >= v12 https://nodejs.org/it/download/
yarnpkg https://classic.yarnpkg.com/en/docs/install/
hyperscan >= v5 https://www.hyperscan.io/downloads/
接下來,我們需要手動編譯項目,該操作分成兩部分:
后端:使用下列命令編譯:
go mod download && go build
前端:使用下列命令編譯:
cd frontend && yarn install && yarn build
在運行Caronte之前,還需要開啟一個MongoDB實例。【參考資料】
接下來,使用“./caronte”命令運行代碼,可用選項如下:
-bind-address ???address where server is bind (default "0.0.0.0") -bind-port ??????port where server is bind (default 3333) -db-name ????????name of database to use (default "caronte") -mongo-host ?????address of MongoDB (default "localhost") -mongo-port ?????port of MongoDB (default 27017)
工具運行截圖
工具主窗口,包含連接列表和數據流內容
工具主窗口,包含時間軸詳情
規則和服務查看
搜索和pcap查看
項目地址
Caronte:【GitHub傳送門】
許可證協議
本項目由Emiliano Ciavatta開發與發布,并遵循GPL-3.0開源許可證協議。
參考資料
https://docs.mongodb.com/manual/administration/install-community/
https://app.swaggerhub.com/apis-docs/eciavatta/caronte/WIP
https://golang.org/doc/install
https://nodejs.org/it/download/
https://classic.yarnpkg.com/en/docs/install/
https://www.hyperscan.io/downloads/
來源:FreeBuf.COM