Tranalyzer2安装及简单使用教程

1 Tranalyzer2简介

Tranalyzer2是一个轻量级的流量生成器和包分析器，为从业者和研究人员设计。特别的价值在于简单性、高性能和可扩展性。它扩展了Cisco NetFlow的功能，并支持分析人员处理超大型的数据包转储。它支持对感兴趣的流量甚至数据包进行深入分析，并能够快速生成一个缩小的pcap，然后可以通过它自己的基于文本的数据包模式进行深入分析，或者简单地加载到tcpdump或Wireshark中。
该程序是开源的，用C语言实现，建立在libpcap库上。Tranalyzer提供了分析和生成关键参数的功能，以及从以太网接口或pcap文件实时捕获的IP跟踪的统计数据。Tranalyzer的二进制和文本输出的数量取决于启用的插件。因此，用户有可能根据他们的需要来定制输出。此外，额外的插件可以独立于其他插件的功能而被开发。
官网地址：Tranalyzer2

2 安装（以Ubuntu 20.04为例）

1. 在https://tranalyzer.com/downloads下载源码包：
   
2. 在Ubuntu上先安装依赖：

apt-get install autoconf autoconf-archive automake libbsd-dev libpcap-dev libreadline-dev libtool make meson zlib1g-dev
1

3. 解压下载好的压缩包：

tar xzf tranalyzer2-0.8.13lmw2.tar.gz
1

4. 进入目录执行安装脚本：

cd tranalyzer2-0.8.13
./setup.sh
1
2

Notes：安装可能会报错，例如：

此处我们先按照提示执行 “setup.sh -N”先跳过出错部分安装即可
待脚本执行结束后，输入：

source ~/.bashrc
1

然后，我们再手动去安装刚才出错的部分，分别输入：

t2build dnsDecode
t2build macRecorder
t2build sshDecode
t2build sslDecode
1
2
3
4

以 macRecorder 为例，安装时可能会再次出现报错：

注意到错误原因是在执行：
“/root/software/tranalyzer2-0.8.13/plugins/macRecorder/autogen.sh”的第28 行时出现了 Permission denied，打开该脚本观察：

在 28 行处，脚本调用了：
“/root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv”，同时我们发现默认这个文件是没有执行权限的，因此此处我们需要先给其加上执行权限：

chmod +x /root/software/tranalyzer2-0.8.13/plugins/macRecorder/utils/aconv
1

然后再运行一遍 “t2build macRecorder”即可

Notes：此类错误可能会出现多次，处理方法一样

单独编译安装完之前报错的 4 个插件后，再执行：

t2build
1

这次系统会自动帮我们编译安装好所有必需插件：

至此安装部分结束，下文介绍工具使用方法。

3 使用教程

3.1 Flow模式

安装完成后，运行 Tranalyzer2 的命令是 t2，输入 t2 -h 查看可用的选项：

可以看到，输入可以为指定网卡，或者单个/多个pcap文件
e.g. 指定网卡抓包并分析：

t2 -i eth0
1

CTRL + C 结束抓包后，可在对应文件夹看到输出的统计结果：

e.g. 读取一个pcap文件并将输入结果写入到指定文件夹：

t2 -r /root/pcap/test.pcap -w /root/result/
1

程序运行结果如下：

查看输出目录，总共输出了五个文件（根据启用的插件数量而定）：

• test_protocols.txt文件主要为分层字节数统计，其内容如下：
  - test_nDPI.txt文件主要是分协议统计了包数级字节数，其内容如下：
  
• test_icmpStats.txt文件统计了ICMP包的信息，其内容如下：
  
  test.pcap文件不包含icmp包，因此此处为空
• test_headers.txt文件为每个列名字段的具体含义，在test_flows.txt文件中有体现：
  
• test_flows.txt文件记录了工具从流中提取的有效字段，具体含义在上个文件中介绍：
  

3.2 Packet模式

除了以流模式提取特征外， t2 还可以提取包级别的特征字段，运行：

t2 -r /root/pcap/test.pcap -w /root/result1/ -s
1

文件夹下多了 test_protocols.txt ：

• test_protocols.txt 文件中为 t2 提取的包级别特征字段：
  

3.3 IDS模式

通过修改正则配置文件，Tranalyzer2可以在数据包中匹配特征字段，以官网demo为例。查看默认正则规则配置文件：

regex_pcre
tcol scripts/regfile.txt
1
2

此时，再运行 t2 分析pcap文件时，命令的规则会产生警告：

3.4 统计分析

Tranalyzer2 可以从前步生成的 “.txt” 文件中统计信息并生成 PDF 文件：

t2fm -F /root/result/test_flows.txt
1

也可以直接从pcap文件生成 PDF统计信息：

t2fm -b -A -r /root/pcap/test.pcap
1

PDF文件内容如下：