%20(2).svg)
项目简介
nProbe是一款强大的网络流量分析工具,用于捕获、解析和导出网络流量数据。它支持NetFlow v5、NetFlow v9和IPFIX等多种网络流量协议,能高效处理大规模网络流量数据,还提供丰富插件,可进行定制化分析。
项目的主要特性和功能
- 多协议支持:支持NetFlow v5、NetFlow v9和IPFIX等多种协议,兼容性广泛。
- 高效处理:采用多线程技术,高效处理大规模网络流量数据,提升分析效率。
- 插件扩展:有服务识别、DNS协议解析、HTTP协议解析等丰富插件,可按需扩展定制。
- 指纹规则库:内置综合测绘识别和应用层协议识别指纹规则,能识别资产信息和威胁流量。
- 灵活配置:可通过命令行参数指定数据源、运行模式、解析格式和采集器位置等。
安装使用步骤
环境准备
- 确保系统安装GCC、automake、autoconf、libtool和libpcap等编译工具。
- 可选安装PF_RING以提升性能。
编译安装
bash
sh ./configure
make
sudo make install
运行示例
以守护进程形式运行,监听指定网卡的数据流量,并将解析后的数据以NetFlow格式发送至采集器:
bash
nprobe -T "%IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES" -n 127.0.0.1:9995 -e 0 -w 32768 -G -i eth0
插件使用
- 服务识别插件:通过正则模式匹配和指纹规则库,识别应用层协议、设备、操作系统等信息:
bash nprobe -T "%IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES %SRV_TYPE %SRV_NAME %SRV_VERS %DEV_TYPE %DEV_NAME %DEV_VEND %DEV_VERS %OS_TYPE %OS_NAME %OS_VERS %MID_TYPE %MID_NAME %MID_VERS %THREAT_TYPE %THREAT_NAME %THREAT_VERS %ICMP_DATA %ICMP_SEQ_NUM %ICMP_PAYLOAD_LEN %SRV_TIME %DEV_TIME %OS_TIME %MID_TIME %THREAT_TIME" -n 127.0.0.1:9995 -e 0 -w 32768 -i eth0 - DNS协议解析插件:解析DNS协议内容,获取查询域名、查询类型和查询结果关联IP:
bash nprobe -T "%IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES %DNS_REQ_DOMAIN %DNS_REQ_TYPE %DNS_RES_IP" -n 127.0.0.1:9995 -e 0 -w 32768 -i eth0 - HTTP协议解析插件:解析HTTP协议内容,获取HTTP协议头部字段信息:
bash nprobe -T "%IN_SRC_MAC %OUT_DST_MAC %IPV4_SRC_ADDR %IPV4_DST_ADDR %PROTOCOL %L4_SRC_PORT %L4_DST_PORT %TCP_FLAGS %SRC_TOS %IN_PKTS %IN_BYTES %HTTP_URL %HTTP_REQ_METHOD %HTTP_HOST %HTTP_MIME %HTTP_RET_CODE %HTTP_USER_AGENT" -n 127.0.0.1:9995 -e 0 -w 32768 -i eth0
下载地址
点击下载 【提取码: 4003】【解压密码: www.makuang.net】