关于Traceeshark
Traceeshark是一款基于Wireshark的Linux运行时安全监控工具,该工具可以帮助广大研究人员执行Linux 运行时安全监控和高级系统跟踪。
功能介绍
该工具可以利用社区熟悉且无处不在的网络分析工具Wireshark来实现Linux系统安全监控。通过Traceeshark,我们可以将JSON 格式的Tracee捕获加载到 Wireshark 中,并使用 Wireshark 的高级显示和过滤功能对其进行分析。
Traceeshark 还提供与 Tracee 生成的网络数据包并排分析系统事件的功能,这些数据包包含有关其所属的系统进程和容器的丰富上下文。
Traceeshark 的另一个功能是能够使用 Tracee 直接从 Wireshark 捕获事件,并让它们像网络捕获一样流入。这可以在运行 Wireshark 的 Linux 机器上本地完成,也可以在 Windows 和 Mac 上使用 docker 桌面的 VM 半本地完成,甚至可以使用 SSH 远程完成。
工具要求
Python 3
工具安装
首先,确保您已安装 Python 3,并且你的 Wireshark 安装已更新到最新版本。
然后,只需运行以下命令即可。
Windows(PowerShell)
$outFile = [System.IO.Path]::GetTempFileName() ; Invoke-WebRequest -Uri "https://raw.githubusercontent.com/aquasecurity/traceeshark/main/autoinstall.py" -OutFile $outFile ; python.exe $outFile ; rm $outFile
Linux/Mac
outfile=$(mktemp) && curl -s "https://raw.githubusercontent.com/aquasecurity/traceeshark/main/autoinstall.py" > $outfile && python3 $outfile && rm $outfile
请注意,Traceeshark 是针对特定 Wireshark 版本编译的。如果您使用的 Linux 发行版带有过时的 Wireshark 软件包,则 Traceeshark 的预构建版本可能无法使用。Ubuntu 22.04 和 24.04 有专门针对其 Wireshark 软件包版本的版本。
实时捕捉设置
要使用实时捕获,必须安装 Python 3 并将其置于 PATH 中,并且必须安装一些库:
pip3 install paramiko msgpack python-pcapng
在 Linux 上,将你的用户添加到 docker 组:
sudo usermod -aG docker <user>
在 Windows 和 Mac 上,确保已安装 docker Desktop 并且你的用户可以运行容器。
工具使用
首次使用 Traceeshark 时,应应用 Tracee 配置文件。该配置文件定义了自定义列视图、事件颜色和一些快速过滤按钮。转到编辑 -> 配置文件...并选择Tracee 配置文件。
此后,任何包含 JSON 格式的 Tracee 事件的文件都可以加载到 Wireshark 中,或者可以使用实时捕获功能直接从 Wireshark 捕获 Tracee 事件。
工具运行演示
许可证协议
本项目的开发与发布遵循GPL-2.0开源许可协议。
项目地址
Traceeshark:【GitHub传送门】
参考资料
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
