威胁狩猎之Arkime流量分析

前言在攻防场景中，我们经常被要求进行溯源0day以及攻击面梳理，但是这个时候，我们拿到的数据包通常都不会特别小，因为如果能把数据包定位的特别精准，那也就基本不用分析了，所以当我们遇到特别大的数据包时，wireshark解析比较慢的时候，arkime提供给了我们一个非常强大的帮助。正文利用arkime上传数据包，并标记tags。提前声明，这里面用的数据包是一个教学案例，公开可用。从语法上来说，和wireshark是比较相似的，但是我们不需要像wireshark一样，每次切换语法，都需要重新加载。并且当我们拿到特别大的包时候，wireshark重新加载并不是特别快，甚至有点慢。除了支持基本语法外，也支持正则搜索并且支持查看预览查看各个字段，帮助我们进行快速分析也可以从流量趋势查看，帮助我们进行分析连接分析查看历史记录虽然最后分析的情况 ………………………………