Анализируем трафик с ZUI (Zed User Interface)
В этой статье расскажем о сканере ZUI и как с его помощью можно анализировать трафик.
Что такое ZUI
Работает на движе ZED, который написан на Go и состоит различных элементов. Чаще его сравнивают с Wireshark. И тут есть несколько принципиальных позитивных отличий: скорость работы, поддержка сигнатур и анализ логов.
Но есть и недостатки: не умеет декодировать пакеты и экспортировать найденные в трафике файлы.
Установка ZUI на Linux
Выполняем команды:
Важно: не забудьте изменить версию в команде, чтобы установить самый последний релиз.
Установка ZUI на Windows и macOS
Тут достаточно скачать с официального страницы файл установки.
Как использовать ZUI
Нужно найти в логах необходимые поля и отфильтровать по ним логи. После строка запроса будет обрастать новыми и новыми условиями поиска.
Примеры запросов поиска
Количество каждой категории тегов:
Все уникальные DNS queries:
SMB- и RPC-трафик в системах Windows:
HTTP-запросы и фильтрация полезных колонок:
Уникальные коннекты и их количество:
Количество переданных байтов на один коннект:
Поиск передаваемых файлов:
Все запросы HTTP Post:
Все IP-подсети:
Демонстрация всех срабатываний сигнатур Suricata и их количество:
Демонстрация всех срабатываний сигнатур Suricata, отфильтрованных по Source IP и Destination IP:
Last updated