NetworkMiner是一款开源的内置无源网络嗅探器/数据包捕获网络取证分析工具(NFAT)。它主要用于对网络流量进行深入分析,提供强大的数据提取、协议解析以及文件提取等功能。开发者为埃里克·Hjelmvik,并在通用公共许可证(GNU)的条款下,用户可重新分配和/或修改该软件。
数据提取:
可以从网络流量中提取各种类型的数据,如文件、图像、音频、视频等。
支持从数据包中提取文件,并自动重组文件片段。
协议解析:
支持多种协议的解析和识别,包括TCP、UDP、HTTP、DNS等。
通过数据包嗅探或解析PCAP文件,能够检测操作系统、主机名和网络主机开放的端口。
流量分析:
提供了多种分析视图,如Hosts、Sessions、Files等,可以快速定位和分析有用信息。
可以通过数据包详细信息查看主机的IP地址、端口、使用协议以及服务器版本、数据包大小等。
文件提取:
支持从数据包中提取文件,并支持根据文件类型(如FTP, TFTP, HTTP, SMB 和 SMTP协议)进行文件提取。
可以自动通过数据包分析出里面的文件,例如图片、js以及css等其他传输的文件。
报告生成:
支持生成多种格式的报告,如HTML、CSV等,便于用户分享和分析结果。
搜索与过滤:
支持根据关键词查找功能,帮助用户快速定位到感兴趣的数据包。
可以设置以IP地址、主机名或操作系统等其他类别显示数据包。
应用场景:
网络入侵检测:通过对网络流量进行深度分析,可以发现潜在的攻击行为和异常流量。
恶意代码分析:通过对恶意代码传输过程中的数据包进行提取和分析,可以了解恶意代码的行为和特征。
网络监控与管理:通过对网络流量进行实时监控和分析,可以及时发现网络问题并进行优化。
