前言在攻防场景中,我们经常被要求进行溯源0day以及攻击面梳理,但是这个时候,我们拿到的数据包通常都不会特别小,因为如果能把数据包定位的特别精准,那也就基本不用分析了,所以当我们遇到特别大的数据包时,wireshark解析比较慢的时候,arkime提供给了我们一个非常强大的帮助。正文利用arkime上传数据包,并标记tags。提前声明,这里面用的数据包是一个教学案例,公开可用。从语法上来说,和wireshark是比较相似的,但是我们不需要像wireshark一样,每次切换语法,都需要重新加载。并且当我们拿到特别大的包时候,wireshark重新加载并不是特别快,甚至有点慢。除了支持基本语法外,也支持正则搜索并且支持查看预览查看各个字段,帮助我们进行快速分析也可以从流量趋势查看,帮助我们进行分析连接分析查看历史记录虽然最后分析的情况
………………………………