前言
在攻防场景中,我们经常被要求进行溯源0day以及攻击面梳理,但是这个时候,我们拿到的数据包通常都不会特别小,因为如果能把数据包定位的特别精准,那也就基本不用分析了,所以当我们遇到特别大的数据包时,wireshark解析比较慢的时候,arkime提供给了我们一个非常强大的帮助。
正文
利用arkime上传数据包,并标记tags。
提前声明,这里面用的数据包是一个教学案例,公开可用。
从语法上来说,和wireshark是比较相似的,但是我们不需要像wireshark一样,每次切换语法,都需要重新加载。并且当我们拿到特别大的包时候,wireshark重新加载并不是特别快,甚至有点慢。
除了支持基本语法外,也支持正则搜索
并且支持查看预览查看各个字段,帮助我们进行快速分析
也可以从流量趋势查看,帮助我们进行分析
连接分析
查看历史记录
虽然最后分析的情况是取决于使用者的使用水平,但是这确实是一个非常好用的工具,在实战中,可以帮助我们快速的发现0day以及攻击面梳理。
原文始发于微信公众号(Th0r安全):威胁狩猎之Arkime流量分析
