Как автоматически построить топологию сети имея CAP файлы?

Question

[wrg]

Всем привет!
Имеется задача- как автоматически построить топологию сети имея .cap файлы с сетевым трафиком.
Подскажите пожалуйста

Answer 1

[Алексей Черемисин]

Наверное почти никак, ведь в трафике нет информации о промежуточных узлах, но можно построить схемы взаимодействия. Можно через tcpdump или libpcap вытащить инфу о источниках/получателях и преобразовать их в простой dot-файл например. Далее пропустить его через graphviz и получить карту.

digraph G{
"10.10.115.102" -> "8.8.8.8" [label=Udp/43];
"10.10.115.105" -> "8.8.8.8" [label=Udp/43] ;
"10.10.115.111" -> "4.4.4.4" [label=Tcp/80];
}

Как-то так. Читать здесь ru.m.wikipedia.org/wiki/Graphviz и здесь http://ru.m.wikipedia.org/wiki/DOT_(язык)

Comments

[wrg]

Правильно ли я понял, что под схемами взаимодействия вы подразумеваете граф с маркированными узлами(протокол/ порт) ?

[Алексей Черемисин]

Именно это и имею ввиду - откуда и куда и на какой порт. Его можно отфильтровать через тот же графвиз и выгрузить в svg, который можно нормально масштабировать хоть в браузере, хоть и inkscape или подобной софтине. Или нужно было что-то другое?

[Алексей Черемисин]

А можно и как-то сгруппировать по подсетям или еще как, здесь уже от фантазии все зависит :-) и да, биндинги к libpcap есть практически на всех языках, начиная от дельфи и заканчивая явой с питонами и перлами - пиши на чем хочешь.

Answer 2

[Андрей]

Выбирайте все уникальные серые IP, которые увидите в CAP + десяток белых, запускайте трассировку до них и тоже записывайте в CAP, дальше анализ топологии по трассам

Answer 3

[throughtheether]

Во-первых, хорошо было бы узнать, откуда задача возникла, и какой смысл в ее решении (т.е. что вам даст/должно дать знание топологии). Трафик снимается из одной точки сети или из нескольких? Пример дампа можете привести?

Я предполагаю, что в сети используется IPv4, инкапсулированный в Ethernet. В таком случае, на мой взгляд, сначала имеет смысл построить граф взаимодействия Ethernet-хостов (аналог в wireshark: statistics -> conversations -> ethernet). Затем, для каждого ethernet-хоста (определяемого unicast MAC-адресом) ставите в соответствие IPv4-адрес инкапсулированного IPv4-пакета (MAC-адресу источника ставите в соответствие IPv4-адрес источника, аналогично с адресами назначения). У вас получается вид топологии сети из точки, в которой происходил захват трафика. На мой взгляд, если нужна топология всей сети, то и трафик захватывать надо с каждого L2-домена.