IVRE中如何分析实时获取的数据包？

上一篇讲了怎么进行IVRE的搭建以及如何进行扫描，IVRE中有一个亮点是可以分析实时获取的数据包，展示出各个IP之间的连通关系，同时以动画的形式呈现出来，非常直观！是分析实时获取的数据包，不是说可以实时获取并分析数据包，至少现在还不能自动化的实时处理，中间还是要加上人为的工作。现在就说一下怎么操作的。

PS: 要是有哪位大牛知道怎么进行自动化的操作，小弟跪求告知，多谢~~

---

搭建环境： Ubuntu16.04 TLS

IVRE对数据的分析有两种方法，一种是基于bro，另一种是使用argus的log或者netflow的log，我采用的是第一种方法，因为argus的log我之前没有遇到过，而.pcap的文件因为wireshark的流行，我想大家都会知道一些，所以本文就主要讲述使用.pcap进行数据流向的分析。

IVRE可以将数据包中的主机之间的通讯情况使用动画的形式展示出来，具体可以这么干：

一、安装Bro

安装时不要在容器内安装，不过你也装不上。。。（我反正没装不上），在主机上安装：

linux@ubuntu:~#sudo apt-get install bro

安装完成后，先放这里，以备后用

二、处理.pcap的文件

我是使用的wireshark随便抓的包，让他自己抓个半个小时，然后保存起来，记得，在保存的时候虽然都是.pcap的，但是我测试过，但是还是选择“wireshark/tcpdump/… pcap”的格式才行，然后，放到ivre-share/文件夹内：

root@ubuntu:~# cp XXX.pcap ivre-share/

然后，使用bro对.pcap进行处理，生成一系列.log文件：

root@ubuntu:~# bro -r XXX.pcap

然后，进入到你的ivreclient中，执行：

root@ivreclient:/ivre-share# ivre bro2db ./*.log

执行完毕以后，没有回显，说明没问题，然后执行：

root@ivreclient:/ivre-share# ivre flowcli

你会看到一大堆的回显，都是扫到的IP地址，这说明你已经配置成功了！然后，打开你的浏览器，输入：

http://localhost:80/flow.html

稍等片刻就有结果产生了~~

（这是截图，其实是一个动画，你可以点击那个播放按钮，进行播放，有密集恐惧症的人，淡定一下。。。。。）

剩下的你就自己发挥吧~~