TCP/IP と UDP/IP のパケットデータ(libpcap形式)をリレーショナルデータベースに格納し,集約,条件検索,CSV ファイルへのエクスポートを行う試み
【この Web ページを理解する前提となる関連事項】
![[image]](45.png)
libpcap 形式ファイルはWireshark を使いパケットをキャプチャすることで簡単に作ることができる.
Wireshark のサイトからサンプルデータをダウンロードすることも簡単です.
![[image]](https://www.kkaneko.jp/info/logo_png.png){kind=logo}
![[image]](43.png)
#!/usr/bin/env ruby -wKU
require 'rubygems'
require 'sqlite3'
require 'pcap'
# SQLite 3 のデータベースファイル名を DBFILENAME に設定してください.
# Windows の場合は「\\」で区切る
DBFILENAME = "/home/kaneko/pcap/examples/packetdb.sqlite3"
DBDIR = File.dirname( DBFILENAME )
DBNAME = File.basename( DBFILENAME )
# データベースオープン
Dir.chdir( DBDIR )
db = SQLite 3::Database.new( DBFILENAME )
# (オプション)SQL を用いた packets テーブルの削除
sql = <<SQL
DROP TABLE tcppackets;
SQL
puts "drop table tcppackets..."
# 削除したいときは、ここの「#」を外す
#db.execute_batch(sql)
# SQL を用いた packets テーブルの定義
# id 属性は SQLite 3の側で自動的に連番(整数)を付ける
# その他の属性については Ruby/Pcap のドキュメントをみt欲しい
sql = <<SQL
create table tcppackets (
id INTEGER PRIMARY KEY,
time REAL not null,
size INTEGER not null,
tcp_data_len INTEGER not null,
ip_src INTEGER not null,
tcp_sport INTEGER not null,
ip_dst INTEGER not null,
tcp_dport INTEGER not null,
tcp_flags_s TEXT not null,
tcp_seq INTEGER not null );
create table udppackets (
id INTEGER PRIMARY KEY,
time REAL not null,
size INTEGER not null,
udp_len INTEGER not null,
ip_src INTEGER not null,
udp_sport INTEGER not null,
ip_dst INTEGER not null,
udp_dport INTEGER not null );
SQL
puts "define table tcppackets..."
db.execute_batch(sql)
puts "insert values..."
# libpcap を使い libpcap 形式のファイル traffic.cap を読み込む
cap = Pcap::Capture.open_offline('traffic.cap')
cap.setfilter("ip")
cap.loop do |pkt|
if pkt.ip? and pkt.tcp?
db.execute( " insert into tcppackets values ( null, ?, ?, ?, ?, ?, ?, ?, ?, ? )", pkt.time.to_f, pkt.size, pkt.tcp_data_len, pkt.ip_src, pkt.tcp_sport, pkt.ip_dst, pkt.tcp_dport, pkt.tcp_flags_s, pkt.tcp_seq )
end
if pkt.ip? and pkt.udp?
db.execute( " insert into udppackets values ( null, ?, ?, ?, ?, ?, ?, ? )", pkt.time.to_f, pkt.size, pkt.udp_len, pkt.ip_src, pkt.udp_sport, pkt.ip_dst, pkt.udp_dport )
end
end
cap.close
# 問い合わせ(確認表示)
sql = <<SQL
SELECT * FROM tcppackets;
SQL
puts "query"
db.execute(sql) do |row|
p row
end
# 問い合わせ(確認表示)
sql = <<SQL
SELECT * FROM udppackets;
SQL
puts "query"
db.execute(sql) do |row|
p row
end
【実行手順】
ruby <ソースコードのファイル名>
![[image]](53.png)
![[image]](52.png)
![[image]](54.png)
■ Source IP Address による集約の例
SELECT count(*), ip_src FROM tcppackets group by ip_src ODRER BY count(*)
【実行結果の例】
![[image]](46.png)
SQLite 3 コマンドラインシェル を使うのが簡単です.
SQLite 3 コマンドラインシェルでは,起動時に「sqlite packetsdb.sqlite3」のようにデータベースファイル名を指定することを忘れない.
■ Source IP Address と Source TCP Portによる集約
SELECT count(*), ip_src, tcp_sport FROM tcppackets group by ip_src, tcp_sport ODRER BY count(*)
【実行結果の例】
![[image]](47.png)
SELECT * FROM tcppackets WHERE tcp_sport=3813
【実行結果の例】
![[image]](48.png)
SQLite 3 コマンドラインシェル を使うことで, CSV ファイルへのエクスポートが簡単にできる.
SQLite 3 コマンドラインシェルを起動し,次のコマンドを実行する
.mode csv .output tcppackets.csv SELECT * FROM tcppackets; .output stdout .exit
![[image]](50.png)
![[image]](51.png)
本サイトは金子邦彦研究室のWebページである.
資料等の公開では,原則,「クリエイティブコモンズ BY NC SA」として公開するようにしている. PDFファイル,パワーポイントファイルなどには, 「クリエイティブコモンズ BY NC SA」を明記するとともに,ロゴを記載するようにしている(作業が間に合っていない分もあるのでご容赦ください).
公開している資料をご利用になる場合の,再配布の条件,剽窃の防止などについて,別ページ »で説明 再配布や資料改変の際には,そのページをご確認ください.
サイトマップは,サイトマップのページをご覧下さい. 本サイト内の検索は,サイト内検索のページをご利用下さい.
問い合わせ先: 金子邦彦(かねこ くにひこ) ![[image]](https://www.kkaneko.jp/info/kanekomail.png)