介绍两款抓包分析软件：科来和ClearSight Analyzer

Posted 2021-04-26 云计算和网络安全技术实践

最近没有整块儿的时间来研究ELK中的syslog日志的格式化以及怎么对日志做搜索，倒是玩儿了两款抓包分析软件，科来和ClearSight Analyzer，记录一下。

科来和ClearSight Analyzer分别是国内外抓包分析软件的代表，都能像Wireshark一样在主机上抓包，但都比Wireshark能做更细致的协议分析。

科来就直接去它的官网上去下载，32位操作系统只有8.0版本，64位操作系统有8.1版本，可以升级到8.2版本，我的环境是32位操作系统，用的8.0版本。

ClearSight Analyzer的下载费点儿劲，需要提交试用信息，好不容易搞到了下载链接，，可直接下载。

主机上的图形化UI的软件都是很容易理解和使用的，就不多说了，这里仅拿之前Locky实践中的抓包做一些分析能力对比，

科来的日志分析不错，让Locky的攻击过程一目了然，

科来对DNS协议不支持时序分析，

科来对HTTP协议仅支持TCP会话时序分析，

ClearSight Analyzer对DNS协议支持时序分析，

ClearSight Analyzer对HTTP协议支持时序分析，轻松分析bot程序分发过程，

ClearSight Analyzer继续轻松分析Bot和C&C交互过程，