https://github.com/USArmyResearchLab/Dshell
(一)安装
1. 安装依赖
sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap
sudo pip install pygeoip
2. 把GeoIP.dat, GeoIPv6.dat, GeoIPASNum.dat, GeoIPASNumv6.dat移到/share/GeoIP/文件夹下
3. make
4. ./dshell
如果出现Dshell>,那么成功
(二)使用
引用
1. decode -l
列举可使用的decoder和他们的基本信息
2. decode -h
大部分decoder的共同信息
3. decode -d <decoder>
显示一个decoder的信息
4. decode -d <decoder> <pcap>
在指定的pcap上运行decoder
(三)使用例子
显示DNS查询,样本
http://wiki.wireshark.org/SampleCaptures#General_.2F_Unsorted
引用
Dshell> decode -d dns ~/pcap/dns.cap
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 39867 PTR? 66.192.9.104 / PTR: 66-192-9-104.gen.twtelecom.net **
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 30144 A? www.netbsd.org / A: 204.152.190.12 (ttl 82159s) **
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 61652 AAAA? www.netbsd.org / AAAA: 2001:4f8:4:7:2e0:81ff:fe52:9a6b (ttl 86400s) **
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 32569 AAAA? www.netbsd.org / AAAA: 2001:4f8:4:7:2e0:81ff:fe52:9a6b (ttl 86340s) **
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 36275 AAAA? www.google.com / CNAME: www.l.google.com **
dns 2005-03-30 03:47:46 192.168.170.8:32795 -> 192.168.170.20:53 ** 9837 AAAA? www.example.notginh / NXDOMAIN **
dns 2005-03-30 03:52:17 192.168.170.8:32796 <- 192.168.170.20:53 ** 23123 PTR? 127.0.0.1 / PTR: localhost **
dns 2005-03-30 03:52:25 192.168.170.56:1711 <- 217.13.4.24:53 ** 30307 A? GRIMM.utelsystems.local / NXDOMAIN **
dns 2005-03-30 03:52:17 192.168.170.56:1710 <- 217.13.4.24:53 ** 53344 A? GRIMM.utelsystems.local / NXDOMAIN **
汇集一个通信流
引用
Dshell> decode -d followstream ~/pcap/v6-http.cap
Connection 1 (TCP)
Start: 2007-08-05 19:16:44.189852 UTC
End: 2007-08-05 19:16:44.204687 UTC
2001:6f8:102d:0:2d0:9ff:fee3:e8de:59201 -> 2001:6f8:900:7c0::2:80 (240 bytes)
2001:6f8:900:7c0::2:80 -> 2001:6f8:102d:0:2d0:9ff:fee3:e8de:59201 (2259 bytes)
GET / HTTP/1.0
Host: cl-1985.ham-01.de.sixxs.net
Accept: text/html, text/plain, text/css, text/sgml, */*;q=0.01
Accept-Encoding: gzip, bzip2
Accept-Language: en
User-Agent: Lynx/2.8.6rel.2 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/0.9.8b
HTTP/1.1 200 OK
Date: Sun, 05 Aug 2007 19:16:44 GMT
Server: Apache
Content-Length: 2121
Connection: close
Content-Type: text/html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<title>Index of /</title>
</head>
<body>
<h1>Index of /</h1>
<pre><img src="/icons/blank.gif" alt="Icon "> <a href="?C=N;O=D">Name</a> <a href="?C=M;O=A">Last modified</a> <a href="?C=S;O=A">Size</a> <a href="?C=D;O=A">Description</a><hr><img src="/icons/folder.gif" alt="[DIR]"> <a href="202-vorbereitung/">202-vorbereitung/</a> 06-Jul-2007 14:31 -
<img src="/icons/layout.gif" alt="[ ]"> <a href="Efficient_Video_on_demand_over_Multicast.pdf">Efficient_Video_on_d..></a> 19-Dec-2006 03:17 291K
<img src="/icons/unknown.gif" alt="[ ]"> <a href="Welcome%20Stranger!!!">Welcome Stranger!!!</a> 28-Dec-2006 03:46 0
<img src="/icons/text.gif" alt="[TXT]"> <a href="barschel.htm">barschel.htm</a> 31-Jul-2007 02:21 44K
<img src="/icons/folder.gif" alt="[DIR]"> <a href="bnd/">bnd/</a> 30-Dec-2006 08:59 -
<img src="/icons/folder.gif" alt="[DIR]"> <a href="cia/">cia/</a> 28-Jun-2007 00:04 -
<img src="/icons/layout.gif" alt="[ ]"> <a href="cisco_ccna_640-801_command_reference_guide.pdf">cisco_ccna_640-801_c..></a> 28-Dec-2006 03:48 236K
<img src="/icons/folder.gif" alt="[DIR]"> <a href="doc/">doc/</a> 19-Sep-2006 01:43 -
<img src="/icons/folder.gif" alt="[DIR]"> <a href="freenetproto/">freenetproto/</a> 06-Dec-2006 09:00 -
<img src="/icons/folder.gif" alt="[DIR]"> <a href="korrupt/">korrupt/</a> 03-Jul-2007 11:57 -
<img src="/icons/folder.gif" alt="[DIR]"> <a href="mp3_technosets/">mp3_technosets/</a> 04-Jul-2007 08:56 -
<img src="/icons/text.gif" alt="[TXT]"> <a href="neues_von_rainald_goetz.htm">neues_von_rainald_go..></a> 21-Mar-2007 23:27 31K
<img src="/icons/text.gif" alt="[TXT]"> <a href="neues_von_rainald_goetz0.htm">neues_von_rainald_go..></a> 21-Mar-2007 23:29 36K
<img src="/icons/layout.gif" alt="[ ]"> <a href="pruef.pdf">pruef.pdf</a> 28-Dec-2006 07:48 88K
<hr></pre>
</body></html>
连接decoder来查询国家的code
引用
Dshell> decode -d country+netflow --country_code=JP ~/pcap/SkypeIRC.cap
2006-08-25 19:32:20.651502 192.168.1.2 -> 202.232.205.123 (-- -> JP) UDP 60583 33436 1 0 36 0 0.0000s
2006-08-25 19:32:20.766761 192.168.1.2 -> 202.232.205.123 (-- -> JP) UDP 60583 33438 1 0 36 0 0.0000s
2006-08-25 19:32:20.634046 192.168.1.2 -> 202.232.205.123 (-- -> JP) UDP 60583 33435 1 0 36 0 0.0000s
2006-08-25 19:32:20.747503 192.168.1.2 -> 202.232.205.123 (-- -> JP) UDP 60583 33437 1 0 36 0 0.0000s
收集vlan头,然后追踪一个指定的IP
引用
Dshell> decode -d netflow ~/pcap/vlan.cap
1999-11-05 18:20:43.170500 131.151.20.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:42.063074 131.151.32.71 -> 131.151.32.255 (US -> US) UDP 138 138 1 0 201 0 0.0000s
1999-11-05 18:20:43.096540 131.151.1.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.079765 131.151.5.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:41.521798 131.151.104.96 -> 131.151.107.255 (US -> US) UDP 137 137 3 0 150 0 1.5020s
1999-11-05 18:20:43.087010 131.151.6.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.368210 131.151.111.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.250410 131.151.32.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.115330 131.151.10.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.375145 131.151.115.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:43.363348 131.151.107.254 -> 255.255.255.255 (US -> --) UDP 520 520 1 0 24 0 0.0000s
1999-11-05 18:20:40.112031 131.151.5.55 -> 131.151.5.255 (US -> US) UDP 138 138 1 0 201 0 0.0000s
1999-11-05 18:20:43.183825 131.151.32.79 -> 131.151.32.255 (US -> US) UDP 138 138 1 0 201 0 0.0000s
分享到:
相关推荐
**网络入侵分析 Dshell** Dshell 是一个强大的网络安全工具,专为网络入侵分析而设计。它采用 Python 语言编写,这使得它具有高度的可扩展性和灵活性,能够处理各种网络流量和日志数据,帮助安全专家检测并响应潜在...
Dshell 可扩展的网络取证分析框架。 支持插件的快速开发,以支持对网络数据包捕获的剖析。 主要特点: 使用专用插件进行深度数据包分析 强大的流重组 IPv4和IPv6支持 自定义输出处理程序 可链接的插件 要求 Linux...
3DShell(3D-Shell)-是Nintendo 3DS的多功能文件管理器,旨在处理媒体文件。 与专门致力于标题管理不同,3DShell倾向于更多的文件管理功能,例如打开和管理各种文件类型,并且包括标准文件管理器的基本必要性。 该...
强大的流重组能力、IPv4 和 IPv6 支持、自定义输出处理、数据链解码 安装: 1、Install all of the necessary Python modules ...4、Run ./dshell. This is Dshell. If you get a Dshell> prompt, you're good to go!
dshell基于原生的yarn-distributedshell上的二次开发将普通的java程序提交到yarn上执行,通过yarn进行统一的资源管理调度。增加了参数-container_files 和 -container_archives 用来向每一个container中传输java执行...
3DShell_PCB.zip 为项目的3d外壳文件 Panel_Panel_1_2024-04-28.epanm 为项目的面板文件 (DXF_PCB_2024-04-23.dxf 为制作面板的中间文件) SMT2404011843_T.png 和SMT2404241038_B.png 为项目的smt贴片文件,本...
- `DShell/`:包含项目的主应用程序代码,如`models.py`、`views.py`、`templates/`和`urls.py`。 - `requirements.txt`:列出项目依赖的Python库,例如Django和paramiko。 - `settings.py`:项目配置文件,包括...
作为主要特点: 多语种或异类 网状网络 据我们了解,IoT或IoT 2.0的去中心化是针对我们自己的实施。 分布式服务器管理,高度复杂的业务流程 完全RESTful,易于嵌入 分布式保管库,用于配置管理或机密 ...
在FLAC(Fast Lagrangian Analysis of Continua)软件中,进行地质力学模拟时,我们经常需要处理结构问题,如简支梁的分析。FLAC是一个基于离散元方法(DEM)的三维数值模拟程序,它广泛应用于地下工程、边坡稳定性...
在`waebbl-gentoo`中,可能包含了针对这些3DShell的优化ebuilds,如MATE、KDE Plasma或Wayland等。这些环境可以提供流畅的动画效果、高级窗口管理以及对现代硬件的良好支持。 ### 安装与使用waebbl-gentoo 要使用`...
本文将深入探讨这些技术,并结合"3DShell"这一概念,基于提供的"指南和常见信息-源码",来解析相关知识点。 首先,Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它允许开发者在服务器端使用JavaScript编写...
"3DShell"可能是指一个用于处理3D模型和纹理的工具或框架,它可能是项目中用于预览、编辑和导出游戏图形资源的辅助工具。这样的工具对于优化工作流程,确保模型符合游戏引擎的要求至关重要。 压缩包中的...
3DShell port for the Nintendo Switch. - Matrix is a plugin style, non-invasive APM system developed by WeChat. - - A library that enables dynamically rebinding symbols in Mach-O binaries running
ZswBlog3.0 ZswBlog-UI3.0 Docker-compose运行说明 1.首先进入app目录下构建docker镜像...4.3 docker-compose -f docker-compose-zswblog-ui.yaml up -dshell 5.如果该项目能够获得您的欣赏希望您能给我点一个Star 6.持
新格勒 这个 repo 支持论文 ,其中介绍了算法“Neograd”。 论文和相关代码由 Michael F. Zimmer 撰写。...这些实验笔记本包含对命名成本 fcn 的算法评估EXPT_2Dshell EXPT_比尔EXPT_double EXPT_qua