Cloudshark数据包分析功能介绍

什么是CloudShark

CloudShark是一种基于Web的数据包分析平台,可以认为是wiresshark的cloud版本,但是其在威胁分析等方面比Wireshark的功能强大,如下是他们的主要区别。

Wireshark VS Cloudshark

Wireshark定位是一款本地开源的网络数据包分析软件,需要在用户的本地计算机上安装和运行。Wireshark提供了丰富的协议解析能力,同时用户可以使用各种过滤器、解码器和统计功能来分析网络流量数据。

Cloudshark是一种基于Web的网络数据包分析平台,用户无需安装任何软件,只需通过Web浏览器即可访问和使用。CloudShark支持团队协作和数据包分享,使团队成员能够共享分析结果,并共同解决网络相关的挑战。CloudShark提供了集成了zeek以及suricata等安全相关的分析能力,这一点是比wireshark体验更好的功能。同时CloudShark提供了丰富的可视化工具,用户可以通过图表和统计数据了解网络流量的分布情况、协议使用情况等。

Cloudshark使用

以下使用一个数据包为例介绍Cloudshark的分析能力,相关链接,见这里

云端Wireshark

Cloudshark的使用是非常的简单,支持数据包的导入,和分析,导入需要账号,注册即可。我这里使用一个公开的数据包演示使用过程,如下:
在这里插入图片描述
可以看到虽然WEB界面没有Wireshark那么多复杂的功能,但是基本的协议解析,过滤器,follow stream的功能都是具备的。关于过滤器的使用,只要选中对应的字段,拖拽到过滤栏,apply即可。

analysis tool的功能我觉得是cloudshark做的比较好的,将常见使用的功能进行归类,如下一一介绍

Ladder View

该功能是按照纵轴为时间戳,横轴为通信的客户端,将整个数据包的流量可视化,如下:
在这里插入图片描述
这个功能还是非常的使用,能够帮助分析人员快速的理清整个数据包的中的业务逻辑,是网络数据可视化的很好示例。

Network Endpoint,protocol conversation,Protocol Hierarchy不过多介绍,这些跟Wireshark对应的endpoint等统计功能类似,都是基于通信一方以及协议统计该端点的通信数据量,as number,以及协议层级的展示等信息。

GeoIP World Map

在之前的文章这里,介绍过Wireshark集成GeoIP的地理位置信息,从而知道该IP的地理位置,见这里。该功能增加了图像显示的功能,更加的直观,如下:
在这里插入图片描述
通过该图能够清晰的看到对应地理位置产生的数据量多少。

DNS Activity

这一点对于DNS的数据整体上做了分析,进行了图像化的展示,比较实用,如下:
在这里插入图片描述
在这里插入图片描述
对DNS数据的简单聚合分析,省去了之前重复的手工操作,帮助分析是快速了解DNS的业务逻辑。

HTTP analysis

和DNS 的数据类似,针对HTTP的数据,整理上做了简单的聚合分析,能够满足部分日常统计需求,如下:
在这里插入图片描述
在这里插入图片描述

VoIP,RTP,wireless network需要对应的数据包针对性分析,本文不再赘述。

Threat Assessment

该项功能是和安全相关的内容,针对流量给出了一些安全的评估,如下:
在这里插入图片描述
Cloudshark使用suricata和ET的规则集对于流进行检测,ET的介绍见这里,suricata的介绍见这里,并将检测的结果显示如下:
在这里插入图片描述
这个功能的好处在于,可以借用商业的规则集来验证数据包中可能潜在的威胁,非常的实用。将入侵检测结构的信息enrich到Ladder view中,使得威胁的展示更加的直观。

ZEEK Logs

上述的各种功能都是在给数据包的流量进行多个维度的分析和总结,zeek是提取流量数据中最为关键的元数据信息,供各种维度的分析之用,如下:
在这里插入图片描述
可以看到zeek将对数据包的元数据,从连接,协议,文件,告警等多个角度进行数据的分类,对于每个文件的内容可以分别查看,如下:
在这里插入图片描述
可以看到对于流量中传输的PE文件,zeek进行了提取,并展示了文件名称,操作系统等和文件相关的多维度信息,;利于分析师的分析。

当然CloudShark支持团队协作和数据包分享,使团队成员能够共享分析结果、讨论问题,并共同解决网络相关问题。用户可以轻松与团队成员共享数据包文件,或者将分析结果导出为报告并分享给他人。这个需要申请对应的账号。

以上就是cloudshark相关内容的介绍,希望对你日常分析有所帮助。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/537178.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

2024年第十四届MathorCup数学应用挑战赛B题解题思路

B题https://mbd.pub/o/bread/ZZ6Wm5dx 问题1:对于附件I(Pre_test文件夹)给定的三张甲骨文原始拓片图 片进行图像预处理,提取图像特征,建立甲骨文图像预处理模型,实现对 甲骨文图像干扰元素的初步判别和处理。 针对问题1,对于附件…

考虑预同步的虚拟同步机T型三电平逆变器并离网MATLAB仿真模型

微❤关注“电气仔推送”获得资料(专享优惠) 模型简介 三相 T 型三电平逆变器电路如图所示,逆变器主回路由三个单相 T 型逆变器组成。 直流侧输入电压为 UPV,直流侧中点电位 O 设为零电位,交流侧输出侧是三相三线制连…

Linux的学习之路:6、Linux编译器-gcc/g++使用

摘要 本文主要是说一些gcc的使用,g和gcc使用一样就没有特殊讲述。 目录 摘要 一、背景知识 二、gcc如何完成 1、预处理(进行宏替换) 2、编译(生成汇编) 3、汇编(生成机器可识别代码 4、链接(生成可执行文件或…

如何调节变阻器的电阻值?

变阻器是一种可以改变电阻值的电子元件,广泛应用于各种电子设备中。调节变阻器的电阻值可以实现对电路中电流和电压的控制,从而实现对设备的控制和调节。下面是如何调节变阻器的电阻值的方法: 了解变阻器的基本原理:变阻器主要由固…

统信UOS桌面操作系统1060上隐藏Windows磁盘

原文链接:统信UOS桌面操作系统1060上隐藏Windows磁盘 Hello,大家好啊!继之前我们讨论了如何在统信UOS桌面操作系统1060上安装双系统之后,今天我要给大家介绍的是,在这个基础上如何隐藏Windows磁盘分区。这样做可以让你…

CDN优化

一、是什么 CDN (全称 Content Delivery Network),即内容分发网络 构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降…

IT行业网络安全守护者-行云管家云堡垒机

IT行业即信息技术行业,是一个涵盖广泛的行业领域,主要涉及与信息的处理、存储、传输和应用相关的技术。对于IT行业而言,保障数据安全以及网络安全至关重要,一不小心就容易造成数据泄露事件。今天我们小编就给大家介绍一下IT行业网…

Mongodb入门--头歌实验MongoDB 文档的高级查询操作

数据库存储了大量的数据&#xff0c;当我们需要特定的数据时就要使用查询方法&#xff0c;根据一定的条件&#xff0c;筛选出我们想要的数据&#xff0c;前一章我们简单介绍了条件操作符&#xff08;<、<、>、>、!等&#xff09;&#xff0c;在这一章中我们将更全面…

【Linux学习】初识Linux指令(一)

文章目录 1.指令操作与图形化界面操作1.什么是指令操作&#xff0c;什么是图形化界面操作&#xff1f; 2.Linux下基本指令1.Linux下的复制粘贴2.Linux两个who命令3.补充知识4.pwd指令5. ls 指令6.cd 指令1.目录树2.相对路径与绝对路劲3.常用cd指令 7.tree指令8. touch指令9.sta…

从浅入深理解JAVA异常

从浅入深理解JAVA异常 一、什么是异常以及异常的分类二、异常的分类1、常见的系统错误2、常见的编译时异常3、常见的运行时异常 三、创建异常1、创建JAVA中已经存在的异常 -- throw关键字1.1 语法1.2 使用2、自定义异常&#xff08;1&#xff09;区分你要创建哪种异常&#xff…

volatile 关键字

我们先看这段代码 class MyCounter {public int flag 0; }public class ThreadDemo15 {public static void main(String[] args) {MyCounter myCounter new MyCounter();Thread t1 new Thread(() -> {while (myCounter.flag 0) {// 这个循环体咱们就空着}System.out.pr…

平板设备IP地址设置指南

在数字化时代&#xff0c;平板电脑作为便携且功能强大的设备&#xff0c;广泛应用于日常生活和工作中。为了确保平板能够正常接入网络并与其他设备进行通信&#xff0c;正确设置IP地址是至关重要的。虎观小二将为您介绍如何设置平板的IP地址&#xff0c;帮助您轻松完成网络配置…

JavaScript ECMAScript标准的与时俱进:从ES6至ES14的革新之路与关键技术特性剖析

ECMAScript&#xff08;通常缩写为ES&#xff09;是一种标准化的脚本语言规范&#xff0c;由ECMA International&#xff08;前身为European Computer Manufacturers Association&#xff0c;欧洲计算机制造商协会&#xff09;制定。自1997年发布首个版本以来&#xff0c;ECMAS…

嵌入式|蓝桥杯STM32G431(HAL库开发)——CT117E学习笔记13:RTC实时时钟

系列文章目录 嵌入式|蓝桥杯STM32G431&#xff08;HAL库开发&#xff09;——CT117E学习笔记01&#xff1a;赛事介绍与硬件平台 嵌入式|蓝桥杯STM32G431&#xff08;HAL库开发&#xff09;——CT117E学习笔记02&#xff1a;开发环境安装 嵌入式|蓝桥杯STM32G431&#xff08;…

PAN1026蓝牙收发芯片

1 概述 PAN1026 系列产品是一款低成本、高集成度的无线 BLE 数据收发芯片&#xff0c;工作在射频 2400MHz ~2483MHz 的通用 ISM 频段。具有较低的系统应用成本&#xff0c;只需要一个 MCU 和少量外部无 源组件即可构建满足无线应用的系统。同时&#xff0c;操作方式非…

七大免费SSL证书获取方法

为了保护用户数据的安全&#xff0c;越来越多的网站开始使用SSL证书。SSL证书是一种数字证书&#xff0c;它能够为网站提供一个安全的加密连接&#xff0c;从而保护用户的敏感信息。然而&#xff0c;购买SSL证书需要一定的费用&#xff0c;这对于一些小型企业或个人来说可能是一…

C++ | Leetcode C++题解之第23题合并K个升序链表

题目: 题解&#xff1a; class Solution {// 21. 合并两个有序链表ListNode *mergeTwoLists(ListNode *list1, ListNode *list2) {auto dummy new ListNode(); // 用哨兵节点简化代码逻辑auto cur dummy; // cur 指向新链表的末尾while (list1 && list2) {if (list1…

test4121

欢迎关注博主 Mindtechnist 或加入【Linux C/C/Python社区】一起学习和分享Linux、C、C、Python、Matlab&#xff0c;机器人运动控制、多机器人协作&#xff0c;智能优化算法&#xff0c;滤波估计、多传感器信息融合&#xff0c;机器学习&#xff0c;人工智能等相关领域的知识和…

强化学习基础概念入门

文章目录 1. 什么是强化学习&#xff1f;2. 强化学习的基本元素3. 相关衍生元素3.1 策略(Policy)3.2 状态转移(State Transition)3.3 回报(Return)3.4 价值函数(Value Function) 4. 算法分类4.1 按环境是否已知划分4.2 按学习方式划分4.3 按学习目标划分 参考资料 1. 什么是强化…

本地开发nginx代理服务器(2024-04-10)

1、nginx 解释 nginx 是一个高性能的HTTP和反向代理服务器&#xff0c;同时也是一个IMAP/POP3/SMTP 代理服务器。 在性能上&#xff0c;Nginx占用很少的系统资源&#xff0c;能支持更多的并发连接&#xff0c;达到更高的访问效率&#xff1b; 在功能上&#xff0c;Nginx是优…