什么是CloudShark
CloudShark是一种基于Web的数据包分析平台,可以认为是wiresshark的cloud版本,但是其在威胁分析等方面比Wireshark的功能强大,如下是他们的主要区别。
Wireshark VS Cloudshark
Wireshark定位是一款本地开源的网络数据包分析软件,需要在用户的本地计算机上安装和运行。Wireshark提供了丰富的协议解析能力,同时用户可以使用各种过滤器、解码器和统计功能来分析网络流量数据。
Cloudshark是一种基于Web的网络数据包分析平台,用户无需安装任何软件,只需通过Web浏览器即可访问和使用。CloudShark支持团队协作和数据包分享,使团队成员能够共享分析结果,并共同解决网络相关的挑战。CloudShark提供了集成了zeek以及suricata等安全相关的分析能力,这一点是比wireshark体验更好的功能。同时CloudShark提供了丰富的可视化工具,用户可以通过图表和统计数据了解网络流量的分布情况、协议使用情况等。
Cloudshark使用
以下使用一个数据包为例介绍Cloudshark的分析能力,相关链接,见这里
云端Wireshark
Cloudshark的使用是非常的简单,支持数据包的导入,和分析,导入需要账号,注册即可。我这里使用一个公开的数据包演示使用过程,如下:
可以看到虽然WEB界面没有Wireshark那么多复杂的功能,但是基本的协议解析,过滤器,follow stream的功能都是具备的。关于过滤器的使用,只要选中对应的字段,拖拽到过滤栏,apply即可。
analysis tool的功能我觉得是cloudshark做的比较好的,将常见使用的功能进行归类,如下一一介绍
Ladder View
该功能是按照纵轴为时间戳,横轴为通信的客户端,将整个数据包的流量可视化,如下:
这个功能还是非常的使用,能够帮助分析人员快速的理清整个数据包的中的业务逻辑,是网络数据可视化的很好示例。
Network Endpoint,protocol conversation,Protocol Hierarchy不过多介绍,这些跟Wireshark对应的endpoint等统计功能类似,都是基于通信一方以及协议统计该端点的通信数据量,as number,以及协议层级的展示等信息。
GeoIP World Map
在之前的文章这里,介绍过Wireshark集成GeoIP的地理位置信息,从而知道该IP的地理位置,见这里。该功能增加了图像显示的功能,更加的直观,如下:
通过该图能够清晰的看到对应地理位置产生的数据量多少。
DNS Activity
这一点对于DNS的数据整体上做了分析,进行了图像化的展示,比较实用,如下:
对DNS数据的简单聚合分析,省去了之前重复的手工操作,帮助分析是快速了解DNS的业务逻辑。
HTTP analysis
和DNS 的数据类似,针对HTTP的数据,整理上做了简单的聚合分析,能够满足部分日常统计需求,如下:
VoIP,RTP,wireless network需要对应的数据包针对性分析,本文不再赘述。
Threat Assessment
该项功能是和安全相关的内容,针对流量给出了一些安全的评估,如下:
Cloudshark使用suricata和ET的规则集对于流进行检测,ET的介绍见这里,suricata的介绍见这里,并将检测的结果显示如下:
这个功能的好处在于,可以借用商业的规则集来验证数据包中可能潜在的威胁,非常的实用。将入侵检测结构的信息enrich到Ladder view中,使得威胁的展示更加的直观。
ZEEK Logs
上述的各种功能都是在给数据包的流量进行多个维度的分析和总结,zeek是提取流量数据中最为关键的元数据信息,供各种维度的分析之用,如下:
可以看到zeek将对数据包的元数据,从连接,协议,文件,告警等多个角度进行数据的分类,对于每个文件的内容可以分别查看,如下:
可以看到对于流量中传输的PE文件,zeek进行了提取,并展示了文件名称,操作系统等和文件相关的多维度信息,;利于分析师的分析。
当然CloudShark支持团队协作和数据包分享,使团队成员能够共享分析结果、讨论问题,并共同解决网络相关问题。用户可以轻松与团队成员共享数据包文件,或者将分析结果导出为报告并分享给他人。这个需要申请对应的账号。
以上就是cloudshark相关内容的介绍,希望对你日常分析有所帮助。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。