6.2.7. replay

6.2.7.1. Introduction

Un fichier avec l'extension pcap est un fichier dans lequel le trafic réseau brut a été capturé.
La commande replay permet :

  • de lister les fichiers pcap disponibles

  • demander au moteur de détection d'analyser ce trafic réseau pour reconstruire les paquets contenus dans ce flux

  • de le rejouer avec possibilité de modifier la vitesse par rapport à celle de la capture initiale

Ci-dessous les options de configuration :

  • Lister les fichiers pcap disponibles

    • list

  • Choisir le nom du fichier pcap

    • pcap

  • Choisir la vitesse de rejeu

    • speed

  • Choisir un rejeu en boucle

    • forever

Note

L'ajout de pcap n'est possible qu'avec les versions compatibles du logiciel du GCenter.

L'ajout de pcap est uniquement possible en ligne de commande avec le compte root, sinon se rapprocher du service support de Gatewatcher.


6.2.7.2. Prérequis

  • Utilisateurs : setup, gviewadm

  • Dépendances :

    • le moteur de détection est démarré (UP)

    • l'interface monvirt est activée

    • au moins un fichier pcap doit être présent dans le répertoire pcap


6.2.7.3. Commande

replay pcap name.pcap {speed FACTOR} {forever}

replay list

Commandes disponibles :

  • forever : signifie de rejouer le fichier pcap jusqu'à appui sur CTRL + C

  • speed x : x est un nombre qui spécifie la vitesse du rejeu du fichier pcap (X fois la vitesse nominale)


6.2.7.4. Exemple pour afficher la liste des fichiers pcap disponibles

  • Entrer la commande suivante.

[Monitoring UP] GCap-lab (gcap-cli) replay list
  • Valider.

Available pcaps are:

test-dga-v1.pcap
test-malcore-v1.pcap
test-powershell-v1.pcap
test-shellcode-v1.pcap
test-sigflow-v1.pcap

La liste des fichiers pcap présents est affichée.
Les fichiers listés ci-avant ont été installés lors d'une nouvelle installation ou lors d'une mise à jour si aucun autre fichier pcap n'est présent sur le GCap.
Chacun de ces fichiers permet de tester un moteur différent.

Note

Pour le fichier test-sigflow-v1.pcap, il est possible de rejouer ce fichier pcap mais :

  • si l'une des 2 signatures suivantes est présente dans le ruleset appliqué au Gcap alors les alertes au niveau du Gcenter sont visibles :

    • sid:2020716 => ET POLICY Possible External IP Lookup ipinfo.io

    • sid:2013028 ==> ET POLICY curl User-Agent Outbound

  • si aucune de ces ignatures n'est présente dans le ruleset alors il n'y a pas d'alerte au niveau du GCenter donc on ne saurat pas si le moteur sigflow fonctionne correctement


6.2.7.5. Exemple pour rejouer un fichier pcap avec la vitesse de capture

  • Entrer la commande suivante.

(gcap-cli) replay pcap name.pcap speed 4
  • Valider.

Test start: 2022-05-13 14:49:31.287043 ...
Actual: 38024 packets (43981183 bytes) sent in 5.00 seconds
Rated: 8795627.9 Bps, 70.36 Mbps, 7604.27 pps
Actual: 58291 packets (66785902 bytes) sent in 10.00 seconds
Rated: 6678332.4 Bps, 53.42 Mbps, 5828.87 pps
Actual: 83666 packets (95744520 bytes) sent in 15.02 seconds
Rated: 6374049.4 Bps, 50.99 Mbps, 5569.93 pps
Actual: 110051 packets (125880214 bytes) sent in 20.02 seconds
Rated: 6285776.9 Bps, 50.28 Mbps, 5495.35 pps
Actual: 147566 packets (169410025 bytes) sent in 25.02 seconds
Rated: 6769298.3 Bps, 54.15 Mbps, 5896.45 pps
Actual: 169247 packets (193816539 bytes) sent in 30.03 seconds
Rated: 6453918.8 Bps, 51.63 Mbps, 5635.77 pps
Actual: 195575 packets (223882527 bytes) sent in 35.06 seconds
Rated: 6385197.7 Bps, 51.08 Mbps, 5577.85 pps
Actual: 221886 packets (253884171 bytes) sent in 40.09 seconds
Rated: 6331801.8 Bps, 50.65 Mbps, 5533.77 pps
Actual: 260874 packets (298969988 bytes) sent in 45.11 seconds
Rated: 6627011.6 Bps, 53.01 Mbps, 5782.57 pps
Actual: 280646 packets (321206175 bytes) sent in 50.19 seconds
Rated: 6399274.4 Bps, 51.19 Mbps, 5591.20 pps
Test complete: 2022-05-13 14:50:24.974433
Actual: 300745 packets (344377408 bytes) sent in 53.68 seconds
Rated: 6414493.3 Bps, 51.31 Mbps, 5601.78 pps
Flows: 3774 flows, 70.29 fps, 296049 flow packets, 4696 non-flow
Statistics for network device: injectiface
	Successful packets:        300745
	Failed packets:            0
	Truncated packets:         0
	Retried packets (ENOBUFS): 0
	Retried packets (EAGAIN):  0

Le système affiche toutes les 5 secondes environ les compteurs :

  • débit en Bps

  • débit en Mbps

  • débit en pps (paquets)

puis les compteurs finaux.