美國(guó)軍方研究實(shí)驗(yàn)室發(fā)布了一款超級(jí)工具Dshell，官方的介紹是 Dshell is a network forensic analysis framework（Dshell是一個(gè)網(wǎng)絡(luò)取證分析框架），這是美國(guó)軍方使用了5年的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)武器。

分析網(wǎng)絡(luò)協(xié)議這事，我以前在公司也做過(guò)，其實(shí)國(guó)內(nèi)大一點(diǎn)的公司都在做。一般做法是在在網(wǎng)絡(luò)邊界處用分光器把流量拆分2份，如果流量不大也可以在路由器上做span，目的就是把入口流量鏡像一份用于分析，如果只想鏡像一個(gè)機(jī)器的流量就更簡(jiǎn)單了，方法很多，這里就不介紹了。

有些流量我們需要實(shí)時(shí)分析并出結(jié)果，有些流量我們需要保存慢慢分析，2種需求分析手段是一樣的，但是各有特點(diǎn)。實(shí)時(shí)分析比較消耗cpu和內(nèi)存，所以實(shí)時(shí)分析的數(shù)據(jù)盡可能少，取最關(guān)鍵最小值即可。離線分析需要把數(shù)據(jù)存下來(lái)慢慢分析，因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)包都比較大，存儲(chǔ)也是有一定時(shí)間要求的，所以我們需要盡快的把存下來(lái)的數(shù)據(jù)分析完然后釋放空間。

Dshell的官方地址如下：

https://github.com/USArmyResearchLab/Dshell

可以利用Dshell快速開(kāi)發(fā)的插件去支持網(wǎng)絡(luò)數(shù)據(jù)包捕獲的分析。

關(guān)鍵特性:

強(qiáng)大的流重組能力

支持 IPv4 和 IPv6

定制輸出

數(shù)據(jù)鏈解碼

預(yù)備知識(shí)：

Linux (developed on Ubuntu 12.04)

Python 2.7

pygeoip, GNU Lesser GPL

MaxMind GeoIP Legacy datasets

PyCrypto, custom license

dpkt, New BSD License

IPy, BSD 2-Clause License

pypcap, New BSD License

安裝：

　　基本用法：

使用案例：

分析流量包里的DNS查詢

官方聲明開(kāi)源目的

陸軍研究實(shí)驗(yàn)室的網(wǎng)絡(luò)安全部門主任William Glodek在一份聲明中表示，他希望該框架對(duì)私企用戶和學(xué)術(shù)界有所幫助，并希望他們能夠貢獻(xiàn)自己的模塊來(lái)擴(kuò)展該框架的功能。