威胁狩猎之Arkime流量分析

渗透技巧 11个月前 admin
245 0 0

前言

在攻防场景中,我们经常被要求进行溯源0day以及攻击面梳理,但是这个时候,我们拿到的数据包通常都不会特别小,因为如果能把数据包定位的特别精准,那也就基本不用分析了,所以当我们遇到特别大的数据包时,wireshark解析比较慢的时候,arkime提供给了我们一个非常强大的帮助。

正文

利用arkime上传数据包,并标记tags。

威胁狩猎之Arkime流量分析

提前声明,这里面用的数据包是一个教学案例,公开可用。

威胁狩猎之Arkime流量分析

从语法上来说,和wireshark是比较相似的,但是我们不需要像wireshark一样,每次切换语法,都需要重新加载。并且当我们拿到特别大的包时候,wireshark重新加载并不是特别快,甚至有点慢。

除了支持基本语法外,也支持正则搜索

威胁狩猎之Arkime流量分析

并且支持查看预览查看各个字段,帮助我们进行快速分析

威胁狩猎之Arkime流量分析

也可以从流量趋势查看,帮助我们进行分析

威胁狩猎之Arkime流量分析

连接分析

威胁狩猎之Arkime流量分析

查看历史记录

威胁狩猎之Arkime流量分析


虽然最后分析的情况是取决于使用者的使用水平,但是这确实是一个非常好用的工具,在实战中,可以帮助我们快速的发现0day以及攻击面梳理。

原文始发于微信公众号(Th0r安全):威胁狩猎之Arkime流量分析

版权声明:admin 发表于 2023年8月26日 上午8:13。
转载请注明:威胁狩猎之Arkime流量分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...