流量分析工具Brim

这篇具有很好参考价值的文章主要介绍了流量分析工具Brim。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

介绍

Brim被打包成桌面应用,和Slack一样用Electron构建,免费,开源。安装后,你可以用Brim打开一个PCAP包,它将把PCAP包转换成ZNG格式的Zeek日志。通过Brim可以搜索日志,也可以协同WireShark来深入分析来自特定流量的数据包。目前Brim仅支持桌面端搜索,将来也会支持云端,集群搜索功能。

大家一般都是使用WireShark来解析特定的流量或协议。但是,WireShark如上所述,有个不得不面对的问题,如果加载的是一个巨大的PCAP包,并需要针对这个PCAP包进行分析,那就会非常痛苦了。而有了Brim,你可以快速地加载巨大的PCAP包,并可以立即开始搜索,且在几秒钟内得到响应,当你发现需要刻意分析的流量条目时,还可以直接解析到WireShark来进行分析。一个多GB的PCAP包一般会提炼出几百MB的ZNG日志,用Brim搜索起来很轻松。
一句话:它既能快速打开非常大的数据包(pcap)文件,又能搜索文件内容
**注意:**截至当前之间,最新版是0.31.0,在下一个版本中,它将更名为Zui

安装

官网地址:https://www.brimdata.io/
访问官网下载:https://www.brimdata.io/download/
image.png
或者github下载:https://github.com/brimdata/brim/releases/tag/v0.31.0
image.png
下载下来之后,双击安装,它会自动为当前用户安装。
关于安装以及常见问题,参见:https://github.com/brimdata/brim/wiki
image.png

面板

Brim载入Pcap包之后,会以KV的结构显示所有数据内容,每一个BLOCK块均为一个键名=键值,比如截图中所示,C3GTJj40egAqHfbzoj是键名为 uid的键值,使用鼠标悬停到键名的位置即可看到键名。
image.png

搜索

模糊搜索

直接在搜素框中输入关键词即可
image.png
或者搜索扩展名是php的http流量:_path=="http" and *.php
image.png

IP

源IP:
id.orig_h==

目的IP:
id.resp_h==

下面的GIF演示的过滤出所有目的IP的相关流量,过滤源IP的话,只需要选中左侧的IP地址,鼠标右键过滤即可。
2.gif

协议

语句:_path
 
例:
_path=="ssl"
 
_path=="http"

1.gif

关联 & 排除

例:查询源地址:192.168.229.128 与 目的地址:192.168.229.136 之间的所有http流量,不要404响应码的

_path=="http" and id.orig_h==192.168.229.128 and id.resp_h==192.168.229.136 and status_code!=404

你可以像上面那样通过鼠标右键很方便的过滤,GIF太大了,不上传了。and或者not符号可写可不写。.

过滤状态码(下面两个等价):
not status_code==404
status_code!=404

查询所有目的ip 192.168.1.30 的http日志 (下面三个等价)
http id.orig_h==192.168.229.128
http and id.orig_h==192.168.229.128
_path=="http" and id.orig_h==192.168.229.128 

导出数据

image.png

参考

下面两个链接内容是一致的:
https://blog.csdn.net/god_7z1/article/details/105616649
https://mp.weixin.qq.com/s/ppehtq2hUQbsoJ3iWSAxRA
下面两个链接内容是一致的:
https://mp.weixin.qq.com/s/Wh_mQy3ujPFd6gczTvDaIw
https://www.freebuf.com/sectool/242141.html文章来源地址https://www.toymoban.com/news/detail-419663.html

到了这里,关于流量分析工具Brim的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 应用程序被打开时无法显示界面的处理方法

           有时会遇到:当软件打开了,但是点击该软件图标的场合,该软件却无法显示界面。 这个时候可以应用以下方法将该软件显示出来。 一、alt+tab键        先按住alt键再按一下tab键,这时会跳出框显示所有已打开应用程序。alt键不要放,然后再按tab键,按一下tab键,

    2024年02月11日
    浏览(124)
  • Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

    使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 payload特征: PHP: ?php @eval($_POST[\\\'caidao\\\']);? ASP: %eval request(“caidao”)% ASP.NET: %@ Page Language=“Jscript”%%eval(Request.Item[“

    2023年04月24日
    浏览(44)
  • webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)

    目录 写在前面 菜刀 蚁剑  冰蝎  冰蝎2.0 冰蝎3.0  冰蝎4.0  哥斯拉  菜刀、蚁剑、冰蝎、哥斯拉是常见的webshell管理工具。在攻防演练中,了解其常见webshell管理工具的流量特征对防守方来说十分重要。常见的webshell也在不断发展以绕过安全设备waf的检测,其流量特征也在不断

    2024年02月13日
    浏览(41)
  • C# 开发桌面应用简单介绍

    一. C#使用场景介绍 C#是微软公司发布的一种由C和C++衍生出来的面向对象的编程语言、运行于.NET Framework和.NET Core(完全开源,跨平台)之上的高级程序设计语言。 二. 开发流程 1. 创建项目:打开Visual Studio后右侧选择“创建新项目”,然后选择“C# Windows窗体应用”即可创建桌

    2024年02月05日
    浏览(58)
  • 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    这个系列讲的是整个网络流量分析流程,其中包含TCP协议、HTTP协议详解和Wireshark、Tcpdump的详细用法,现在只完成了其中一部分内容,每周更新,感兴趣的可以持续关注一下~ 内容比较杂,直接用 Ctrl+F 找自己需要的就可以 ​ 网络流量分析(NTA)可以描述为检查网络流量以表征所

    2023年04月12日
    浏览(96)
  • windows桌面应用程序UI自动化工具

    WinApp(Windows APP)是运行在Windows操作系统上的应用程序,通常会提供一个可视的界面,用于和用户交互。 例如运行在Windows系统上的Microsoft Office、PyCharm、Visual Studio Code、Chrome,都属于WinApp。常见的WinApp,其扩展名基本都是*.exe,运行后也都会有一个漂亮、易用的UI界面,下面

    2024年02月11日
    浏览(49)
  • Windows桌面水印去除工具Universal Watermark Disabler原理分析及实现

      最近做驱动开发,开启了系统测试模式,于是桌面的右下角就有一个水印,如下图:   测试了网上修改注册表方法不起作用,最后找到一款工具Universal Watermark Disabler可以把水印去除掉。于是对其原理有些兴趣,就有了相关的分析及编程实现。   使用Process Monitor抓取

    2024年02月13日
    浏览(39)
  • Appium: Windows系统桌面应用自动化测试(四) 【辅助工具】

    @[TOC](Appium: Windows系统桌面应用自动化测试(四) 辅助工具) 文件批量上传和文件单个上传原理是相同的,单个上传直接传入文件路径即可,批量上传需要进入批量上传的文件所在目录,然后观察选中多个文件时【文件路径输入框】读取的批量文件写入规则,如图7-12所示,可以看

    2024年02月16日
    浏览(44)
  • Rust桌面应用开发工具-----Tauri(Yew UI 模版)安装与测试

    最近在学习rust,想要了解一下关于rust在桌面应用开发方面的工具。。。 已经安装好了Rust ,我的测试环境是在 macos 系统进行的。其他系统注意阅读官方的操作文档。 MacOs系统环境准备 关于C的开发依赖 更新一下rust 运行之后会有如下的一些提示 根据提示运行测试一下 有个报

    2024年02月16日
    浏览(42)
  • 使用Graalvm+Swing搓了个原生桌面应用的轮子:文件差异对比工具,附轮子源码

    1、DFDiff介绍 当前已实现的功能比较两个文件夹内的文件差异,已支持文件差异对比。 2、软件架构 软件架构说明 开发环境是在OpenJDK17,UI使用的是Swing + SwingX扩展控件,使用Graalvm编译为原生应用。 文件列表使用的Swingx组件的JXTreeTable。 文件差异对比使用的Swingx组件的JXTabl

    2024年02月08日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包