如何使用Caronte在CTF比赛中完成网络流量分析

关于Caronte

Caronte是一款功用强大的网络流量剖析东西，能够协助广大研究人员在CTF竞赛或其他网络攻击/防御活动中对捕捉到的网络流量进行剖析。该东西能够从头组装pcap文件中捕获的TCP数据包以重建TCP衔接，并剖析每个衔接以查找用户定义的方式。这儿所谓的方式，支撑用户运用正则表达式或特定于协议的规矩来进行定义。剖析过程中的衔接流将会存储至数据库中，并能够经过Web应用程序以可视化的方式访问。除此之外，Caronte还供给了十分有用的REST API。

功用介绍

支撑Docker-Compose，可当即装置运用；

无需配置文件，可经过GUI或API修改配置；

可经过curl或GUI加载待剖析的pcap文件；

支撑包括特定字符串的规矩以辨认衔接；

可经过服务类型对衔接进行标识；

可经过地址、端口、时刻和匹配规矩等过滤特定衔接；

经过时刻轴显示每分钟的剖析计算；

支撑正则表达式查找；

可对检测到的HTTP衔接进行自动化重组；

可经过多种方式检查或导出衔接内容；

在JSON树状图检查器中显示JSON内容，在独立窗口中出现HTML代码；

衔接内容视图中高亮显示匹配规矩的内容；

支撑IPv4和IPv6；

东西装置

目前有两种方法来装置Caronte：

运用Docker和Docker-Compose，最简略也最快速；

手动装置依靠组件并编译项目；

运用Docker装置

首要，将该项目源码克隆至本地：

git clone https://github.com/eciavatta/caronte.git

在指令行终端中，切换到项目根目录，然后运转下列指令：

docker-compose up -d

等待镜像编译完结之后，就能够在浏览器中访问“http://localhost:3333”以运用Caronte了。

手动装置

首要，我们需求装置好下列依靠组件：

go >= 1.14 https://golang.org/doc/install

node >= v12 https://nodejs.org/it/download/

yarnpkg https://classic.yarnpkg.com/en/docs/install/

hyperscan >= v5 https://www.hyperscan.io/downloads/

接下来，我们需求手动编译项目，该操作分成两部分：

后端：运用下列指令编译：

go mod download && go build

前端：运用下列指令编译：

cd frontend && yarn install && yarn build

在运转Caronte之前，还需求敞开一个MongoDB实例。【参考资料】

接下来，运用“./caronte”指令运转代码，可用选项如下：

-bind-address    address where server is bind (default "0.0.0.0")

-bind-port       port where server is bind (default 3333)

-db-name         name of database to use (default "caronte")

-mongo-host      address of MongoDB (default "localhost")

-mongo-port      port of MongoDB (default 27017)

东西运转截图

东西主窗口，包括衔接列表和数据流内容

东西主窗口，包括时刻轴详情

规矩和服务检查

查找和pcap检查

项目地址

Caronte：【GitHub传送门】