介绍两款抓包分析软件:科来和ClearSight Analyzer
Posted 云计算和网络安全技术实践
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了介绍两款抓包分析软件:科来和ClearSight Analyzer相关的知识,希望对你有一定的参考价值。
最近没有整块儿的时间来研究ELK中的syslog日志的格式化以及怎么对日志做搜索,倒是玩儿了两款抓包分析软件,科来和ClearSight Analyzer,记录一下。
科来和ClearSight Analyzer分别是国内外抓包分析软件的代表,都能像Wireshark一样在主机上抓包,但都比Wireshark能做更细致的协议分析。
科来就直接去它的官网上去下载,32位操作系统只有8.0版本,64位操作系统有8.1版本,可以升级到8.2版本,我的环境是32位操作系统,用的8.0版本。
ClearSight Analyzer的下载费点儿劲,需要提交试用信息,好不容易搞到了下载链接,,可直接下载。
主机上的图形化UI的软件都是很容易理解和使用的,就不多说了,这里仅拿之前Locky实践中的抓包做一些分析能力对比,
科来的日志分析不错,让Locky的攻击过程一目了然,
科来对DNS协议不支持时序分析,
科来对HTTP协议仅支持TCP会话时序分析,
ClearSight Analyzer对DNS协议支持时序分析,
ClearSight Analyzer对HTTP协议支持时序分析,轻松分析bot程序分发过程,
ClearSight Analyzer继续轻松分析Bot和C&C交互过程,
以上是关于介绍两款抓包分析软件:科来和ClearSight Analyzer的主要内容,如果未能解决你的问题,请参考以下文章