什么是CloudShark

CloudShark是一种基于Web的数据包分析平台，可以认为是wiresshark的cloud版本，但是其在威胁分析等方面比Wireshark的功能强大，如下是他们的主要区别。

Wireshark VS Cloudshark

Wireshark定位是一款本地开源的网络数据包分析软件，需要在用户的本地计算机上安装和运行。Wireshark提供了丰富的协议解析能力，同时用户可以使用各种过滤器、解码器和统计功能来分析网络流量数据。

Cloudshark是一种基于Web的网络数据包分析平台，用户无需安装任何软件，只需通过Web浏览器即可访问和使用。CloudShark支持团队协作和数据包分享，使团队成员能够共享分析结果，并共同解决网络相关的挑战。CloudShark提供了集成了zeek以及suricata等安全相关的分析能力，这一点是比wireshark体验更好的功能。同时CloudShark提供了丰富的可视化工具，用户可以通过图表和统计数据了解网络流量的分布情况、协议使用情况等。

Cloudshark使用

以下使用一个数据包为例介绍Cloudshark的分析能力，相关链接，见这里

云端Wireshark

Cloudshark的使用是非常的简单，支持数据包的导入，和分析，导入需要账号，注册即可。我这里使用一个公开的数据包演示使用过程，如下：

可以看到虽然WEB界面没有Wireshark那么多复杂的功能，但是基本的协议解析，过滤器，follow stream的功能都是具备的。关于过滤器的使用，只要选中对应的字段，拖拽到过滤栏，apply即可。

analysis tool的功能我觉得是cloudshark做的比较好的，将常见使用的功能进行归类，如下一一介绍

Ladder View

该功能是按照纵轴为时间戳，横轴为通信的客户端，将整个数据包的流量可视化，如下：

这个功能还是非常的使用，能够帮助分析人员快速的理清整个数据包的中的业务逻辑，是网络数据可视化的很好示例。

Network Endpoint，protocol conversation，Protocol Hierarchy不过多介绍，这些跟Wireshark对应的endpoint等统计功能类似，都是基于通信一方以及协议统计该端点的通信数据量，as number，以及协议层级的展示等信息。

GeoIP World Map

在之前的文章这里，介绍过Wireshark集成GeoIP的地理位置信息，从而知道该IP的地理位置，见这里。该功能增加了图像显示的功能，更加的直观，如下：

通过该图能够清晰的看到对应地理位置产生的数据量多少。

DNS Activity

这一点对于DNS的数据整体上做了分析，进行了图像化的展示，比较实用，如下：


对DNS数据的简单聚合分析，省去了之前重复的手工操作，帮助分析是快速了解DNS的业务逻辑。

HTTP analysis

和DNS 的数据类似，针对HTTP的数据，整理上做了简单的聚合分析，能够满足部分日常统计需求，如下：

VoIP,RTP,wireless network需要对应的数据包针对性分析，本文不再赘述。

Threat Assessment

该项功能是和安全相关的内容，针对流量给出了一些安全的评估，如下：

Cloudshark使用suricata和ET的规则集对于流进行检测，ET的介绍见这里，suricata的介绍见这里，并将检测的结果显示如下：

这个功能的好处在于，可以借用商业的规则集来验证数据包中可能潜在的威胁，非常的实用。将入侵检测结构的信息enrich到Ladder view中，使得威胁的展示更加的直观。

ZEEK Logs

上述的各种功能都是在给数据包的流量进行多个维度的分析和总结，zeek是提取流量数据中最为关键的元数据信息，供各种维度的分析之用，如下：

可以看到zeek将对数据包的元数据，从连接，协议，文件，告警等多个角度进行数据的分类，对于每个文件的内容可以分别查看，如下：

可以看到对于流量中传输的PE文件，zeek进行了提取，并展示了文件名称，操作系统等和文件相关的多维度信息，；利于分析师的分析。

当然CloudShark支持团队协作和数据包分享，使团队成员能够共享分析结果、讨论问题，并共同解决网络相关问题。用户可以轻松与团队成员共享数据包文件，或者将分析结果导出为报告并分享给他人。这个需要申请对应的账号。

以上就是cloudshark相关内容的介绍，希望对你日常分析有所帮助。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。