随着deepseek,chatgpt等大模型的能力越来越强大,本文将介绍一下deepseek等LLM在分数流量数据包这方面的能力。为需要借助LLM等大模型辅助分析流量数据包的同学提供参考,也了解一下目前是否有必要继续学习wireshark工具以及复杂的协议知识。
pcap格式
目前来说直接将pcap传入大模型的效果不佳,例如deepseek目前不支持pcap格式,如下:
chatgpt目虽然不限制上传的格式,但是不支持像wireshark那样进行解码,以及对于解码的内容深度的分析,如下:
如果知道如何让大模型直接分析pcap方法的同学可以进行评论探讨。对于知道大模型不支持对于pcap深度分析原因的也可以评论。
图片格式
由于目前deepseek等大模型都是支持图片分析的,因此可以截取wireshark的图片,进行识别。如下截图反映了一条SMB协议交互的过程:
对该图片的分析如下:
可以看到在图片识别以及内容推理这块,大模型还是很强大,基本概括了SMB协议交互过程中重要的信息。
但是上述图片中缺乏数据包的细节,如下SMB文件中某一个数据包请求的细节:
如下是针对协议细节的识别分析:
基本也能给出协议的细节理解。
但是图片的问题在于包含的信息有限,毕竟一条流上包含大量的数据包,需要截取大量的图片,如此一来效率直接降低,因此图片的方法只适合于关键问题的问答或者一些图片格式的应用场景。
文本格式
文本格式有两种,hex dump格式和json格式。两种格式各有优缺点,如下:
- hex dump格式导出的文件小,但是存储的是二进制,因此每一层的协议解析依赖于deepseek等大模型的能力,对于IP,TCP等常见二进制协议以及HTTP等文本协议来说,这部分的解析能力通常没有问题,但是与SMB,RDP等二进制协议来说,大模型在这方面的能力比较偏弱。
- json格式由于包含了很多字段的文本信息,因此导出的文件比较大,对于大模型来说数据量太多。但是由于json格式会将wireshark能够解析的字段内容详尽输出,因此json格式的文件就是wireshark能力的副本,能够给大模型提供的信息比较丰富,有助于大模型全面的理解。
关于pcap转文本的方法,详见CSDN博主村中少年的专栏文章《Pcap网络数据包处理方法大全
》,这里。
HTTP
使用的示例数据包为HTTP协议,下载详见这里
hexdump
导出hex dump格式的数据示例如下:
使用deepseek分析如下:
可以看到对于HTTP协议的内容,由于其本身是文本协议,所以deepseek则能够非常直观的解析和理解,并且能够解压缩。虽然请求和响应部分展示的并不完整,但是基本上展示了HTTP以及TCP等协议主要内容。
json
导出json格式的数据示例如下:
使用deepseek分析如下:
整体来说由于json格式提供更为直接的内容,因此在相同提示词的情况下对于json格式的理解,deepseek等大模型也是更加的深入和彻底。输出的结果更为的丰富,总的来说对于文本协议的HTTP来说差别较小。
SMB
使用的示例数据包为SMB协议,下载详见这里。
hexdump
其中hexdump格式使用deepseek分析如下:
可以看出这块由于文件较大,对于文件内容识别就有限了,毕竟更多的内容消耗更多的算力,这块想要更加全面的分析,需要进行付费了。同时发现deepseek对于免费用户频繁传输文件也是有限制的,不够友好,
json
其中json格式使用deepseek分析如下:
SMB等二进制协议的结果更加的明显,deepseek由于从json格式直接获取的信息比值hexdump更加的丰富,因此给出总结性的信息更多。
同时可以看到json文件内容更大,字符串更多,读取的内容更加的少。总的来说目前deepseek等大模型存在着内容数量上的限制,想要免费的分析一条完整的流往往不现实的。
结论
不能直接上传所有的信息,只适合上传某一个数据包的信息供大模型进行识别。
所以在流量分析这块仍然需要熟练的使用wireshark工具以及学习协议知识,deepseek等大模型工具可以辅助我们分析和学习其中的某些还不是特别清楚的点,想要完全依赖大模型,无论是本地的模型还是云端的模型,都需要大量的算力和token,意味着更多的钱,另一方面在流量分析这块大模型仍然没有发现赶超熟练的流量分析人员。虽然可以继续的提示,但是应用大模型的本意是提升效率,一味的提示反而效率降低。
因此仍然需要学习SMB数据包的分析技巧,详见CSDN村中少年专栏《SMB攻击流量数据包分析》专栏,这里,专栏《Wireshark从入门到精通
》,这里。
上述就是针对使用DeepSeek/chatgpt等AI工具辅助网络协议流量数据包分析f的介绍,希望对你有所帮助。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。
