PSCLI-Ruby ver2.3.1 リリース
2017年8月24日(日本時間)、PSCLI-Ruby ver2.3.1がリリースされました。
PSCLI-Rubyにおいて、新しいloaderがサポートされました。
HTTPのURL情報を解釈できる仕組み(loader2_12)の利用がサポートされました。
loader2_12では、5tuple(source IP、destination IP、source port、destination port、protocol)に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。
動作イメージ:
PSCLI-Rubyを使って、loader2_12の動作するPSSを利用して個別調査する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。
# ruby ./pscli.rb -c I
フィールドタイプID:
0.TEMPLATE_ID
1.PROTOCOL
2.IPV4_SRC_ADDR
3.IPV4_DST_ADDR
4.L4_SRC_PORT
5.L4_DST_PORT
6.ICMP_TYPE
70.HTTP_NO_QUERY
入力インターフェース:
1.eth0_0
開始時間:2017/08/21 09:08:00
PCAPバッファサイズ:314572800byte
#
# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1
開始時間,パケット数,パケットサイズ
2017/08/24 13:43:00,1047,616759
2017/08/24 13:43:01,395,165415
2017/08/24 13:43:02,877,555116
2017/08/24 13:43:03,858,506251
2017/08/24 13:43:04,1335,675379
2017/08/24 13:43:05,1144,526594
2017/08/24 13:43:06,1021,462830
2017/08/24 13:43:07,2046,1168658
2017/08/24 13:43:08,1020,471040
2017/08/24 13:43:09,411,136813
[root@dev-dnsv pscli-ruby]# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*' -f '70' | grep -e html
www.terilogy.com:/momentum/lineup/probe_type-r.html,1,624
www.terilogy.com:/momentum/index.html,1,619
www.terilogy.com:/momentum/jichitai/index.html,1,633
#
# ruby ./pscli.rb -c FH -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*'
開始時間,パケット数,パケットサイズ
2017/08/24 13:43:00,16,8793
2017/08/24 13:43:01,0,0
2017/08/24 13:43:02,0,0
2017/08/24 13:43:03,0,0
2017/08/24 13:43:04,9,5194
2017/08/24 13:43:05,0,0
2017/08/24 13:43:06,0,0
2017/08/24 13:43:07,18,10031
2017/08/24 13:43:08,0,0
2017/08/24 13:43:09,0,0
#
# ruby ./pscli.rb -c P -t 20170824134300 -d 10 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/08/24 13:43:00 >>> 9,049 byte
2017/08/24 13:43:01 >>> 0 byte
2017/08/24 13:43:02 >>> 0 byte
2017/08/24 13:43:03 >>> 0 byte
2017/08/24 13:43:04 >>> 5,338 byte
2017/08/24 13:43:05 >>> 0 byte
2017/08/24 13:43:06 >>> 0 byte
2017/08/24 13:43:07 >>> 10,319 byte
2017/08/24 13:43:08 >>> 0 byte
2017/08/24 13:43:09 >>> 0 byte
TOTAL >>> 24,730 byte
#
# ls -al /root/tmp/output-1.pcap
-rw-r--r--. 1 root root 24730 Aug 24 14:00 /root/tmp/output-1.pcap
#
# capinfos /root/tmp/output-1.pcap
File name: /root/tmp/output-1.pcap
File type: Wireshark/tcpdump/... - pcap
File encapsulation: Ethernet
Packet size limit: file hdr: 65536 bytes
Number of packets: 43
File size: 24 kB
Data size: 24 kB
Capture duration: 8 seconds
Start time: Thu Aug 24 13:43:00 2017
End time: Thu Aug 24 13:43:07 2017
Data byte rate: 3,082 bytes/s
Data bit rate: 24 kbps
Average packet size: 558.56 bytes
Average packet rate: 5 packets/sec
SHA1: c00ebb04a01771b426c876aa96413c97b55b3814
RIPEMD160: 743da5b80fb5639e88d715a6df1e3afc67b17a9a
MD5: cabc7c1342351649bc770ebdc71d1707
Strict time order: False
#
本機能により、さまざまな観点での詳細調査を実現します。
設定:
設定は、 wiki - PSCLI設定ファイル を参照ください。
ダウンロード:
コメント