小试牛刀:用CDK+tshark模拟wireshark功能

开发交流 精帖
收藏
6 1214
Sunny912
StarSky 未认证 2018-03-17 11:31:35
付费话题:0 积分

通过学习理解CDK后,发现CDK已经具备了大数据采集、泛化、存储、高效检索等功能,并且可以自定义字段。

所以要开发一个类似wireshark简单版的流量分析工具,只需要利用tshark工具开发一个流量采集解析工具即可,然后将解析结果以syslog或flow的形式发送给平台即可。

第一步


tshark -r modbus.pcap 可以打印出每个报文信息,然后逐条以syslog的形式发送给个CDK即可。

第二步 利用CDK的泛化模块编写泛化规则


第三步 在CDK的事件分析模块查看pcap文件解析后的信息。


回帖