Добро пожаловать обратно, начинающие специалисты по цифровой криминалистике!
На протяжении десятилетий анализатор сетевых протоколов Wireshark с открытым исходным кодом был незаменимым инструментом для сетевых специалистов, позволяя им проверять сетевой трафик и устранять неполадки с помощью анализа пакетов. Однако, поскольку организации всё чаще переносят рабочие нагрузки в облако, они столкнулись с проблемой снижения прозрачности системной активности. Для решения этой проблемы был представлен Stratoshark.
Так же, как Wireshark помогает сетевым командам анализировать пакетные данные из файлов PCAP, Stratoshark записывает и интерпретирует активность системы, используя библиотеки libsinsp и libscap, создавая файлы .scap для детального анализа.
Операционная система (ОС) управляет этими взаимодействиями. Она различает типы подключений, такие как Wi-Fi и Ethernet, и устройства хранения данных, такие как NVMe и SATA. Что ещё важнее, она абстрагирует эти различия, поэтому приложениям не нужно беспокоиться о базовых аппаратных деталях.
Для этого ОС предоставляет стандартный набор функций, которые приложения используют для взаимодействия с внешними устройствами. Эти функции обычно просты, например, read(), write(), socket() и sendmsg(). Вместе они образуют то, что мы называем системными вызовами. Отслеживая эти системные вызовы, мы можем наблюдать за всеми действиями программы — от сетевых соединений и доступа к файлам до воспроизведения звука и многого другого.
Stratoshark поддерживает несколько источников захвата, включая:
[td]Особенность[/td][td]Стратоакар[/td][td]Wireshark[/td]
[td]Основной фокус[/td][td]Системные вызовы и взаимодействия ОС[/td][td]Сетевые пакеты и протоколы[/td]
[td]Формат файла[/td][td]SCAP-файлы[/td][td]PCAP-файлы[/td]
[td]Основные варианты использования[/td][td]Устранение неполадок системы, мониторинг безопасности, анализ контейнеров[/td][td]Устранение неполадок в сети, анализ протоколов, проверка трафика[/td]
[td]Механизм захвата[/td][td]Модули ядра, зонды eBPF[/td][td]Сетевые интерфейсы, библиотеки захвата пакетов[/td]
[td]Среда[/td][td]Особенно ценно в облачных и контейнерных системах.[/td][td]Сетевая инфраструктура (физическая или виртуальная)[/td]
[td]Уровень анализа[/td][td]Поведение ОС и приложений[/td][td]Сетевые коммуникации[/td]Эти инструменты идеально дополняют друг друга: Wireshark показывает, что происходит в сети, а Stratoshark обеспечивает видимость того, что происходит внутри самих систем.
Для Stratoshark на Linux вам потребуется собрать его из исходного кода .
Для простоты и удобства обучения я буду использовать Windows 11, где процесс установки такой же простой, как и у любого стандартного приложения Windows.
Эта панель содержит специализированный набор раскрываемых заголовков, специально разработанных для анализа системных вызовов. Наиболее ценные заголовки для анализа:
На протяжении десятилетий анализатор сетевых протоколов Wireshark с открытым исходным кодом был незаменимым инструментом для сетевых специалистов, позволяя им проверять сетевой трафик и устранять неполадки с помощью анализа пакетов. Однако, поскольку организации всё чаще переносят рабочие нагрузки в облако, они столкнулись с проблемой снижения прозрачности системной активности. Для решения этой проблемы был представлен Stratoshark.
Что такое Stratoshark?
Stratoshark — это приложение-компаньон для Wireshark, предназначенное для анализа системных вызовов и сообщений журналов из файлов SCAP, что позволяет глубже понять активность системы. Поскольку современные облачные системы в основном используют Linux для запуска приложений в контейнерах, Stratoshark помогает пользователям устранять неполадки, обеспечивать безопасность и мониторинг своих систем, отслеживая активность системы непосредственно из ядра Linux.Так же, как Wireshark помогает сетевым командам анализировать пакетные данные из файлов PCAP, Stratoshark записывает и интерпретирует активность системы, используя библиотеки libsinsp и libscap, создавая файлы .scap для детального анализа.
- libsinsp — это библиотека обработки системных событий, которая позволяет Stratoshark анализировать системные вызовы в режиме реального времени, предоставляя информацию о том, как процессы взаимодействуют с операционной системой.
- Библиотека libscap отвечает за сбор системных вызовов и журналов аудита непосредственно из ядра Linux, выступая в качестве механизма сбора данных для Stratoshark. Она позволяет пользователям записывать подробную информацию о системной активности для последующего анализа.
Что такое системные вызовы?
На компьютере установлены различные приложения, такие как веб-браузеры, почтовые клиенты, музыкальные плееры и текстовые редакторы, а также всё остальное, что установлено на компьютере. Этим приложениям часто требуется взаимодействие с внешними ресурсами: веб-браузерам требуется доступ к сети, музыкальным плеерам — к звуковым устройствам и т. д. Однако эти приложения изначально не способны самостоятельно обрабатывать это взаимодействие.Операционная система (ОС) управляет этими взаимодействиями. Она различает типы подключений, такие как Wi-Fi и Ethernet, и устройства хранения данных, такие как NVMe и SATA. Что ещё важнее, она абстрагирует эти различия, поэтому приложениям не нужно беспокоиться о базовых аппаратных деталях.
Для этого ОС предоставляет стандартный набор функций, которые приложения используют для взаимодействия с внешними устройствами. Эти функции обычно просты, например, read(), write(), socket() и sendmsg(). Вместе они образуют то, что мы называем системными вызовами. Отслеживая эти системные вызовы, мы можем наблюдать за всеми действиями программы — от сетевых соединений и доступа к файлам до воспроизведения звука и многого другого.
Как можно перехватить системные вызовы?
Вы можете создать файлы SCAP с помощью инструмента командной строки sysdig или запустив Stratoshark непосредственно в системе Linux.Stratoshark поддерживает несколько источников захвата, включая:
- Falcodump – собирает журналы из различных источников с помощью плагинов Falco и системных вызовов Linux.
- Sshdig – обеспечивает удаленный захват системных вызовов по SSH с помощью Sysdig.
Основные характеристики Stratoshark
Stratoshark предлагает несколько мощных функций, которые делают его незаменимым инструментом для анализа на системном уровне:- Мониторинг активности системы в реальном времени : отслеживайте и анализируйте системные вызовы по мере их возникновения.
- Расширенные возможности фильтрации : быстро изолируйте важные системные события с помощью фильтров отображения.
- Интеграция с облаком : встроенная поддержка анализа журналов аудита облака.
- Инструменты визуализации : преобразуйте сложные последовательности системных вызовов в понятные визуализации.
- Видимость контейнера : получите представление о контейнерных приложениях и их взаимодействии.
- Обнаружение угроз : выявление подозрительных шаблонов активности посредством анализа системных вызовов.
Stratoshark и Wireshark: понимание различий
Хотя Stratoshark и Wireshark используют схожие интерфейсы и подходы к анализу, они фокусируются на разных аспектах наблюдения за системой:Получение Stratoshark
Пакеты разработки для Windows и macOS доступны через автоматизированные сборки Wireshark. Обратите внимание, что на этих платформах не поддерживается захват системных вызовов.Для Stratoshark на Linux вам потребуется собрать его из исходного кода .
Для простоты и удобства обучения я буду использовать Windows 11, где процесс установки такой же простой, как и у любого стандартного приложения Windows.
Первый взгляд: навигация по интерфейсу Stratoshark
Первоначальный опыт запуска
При первом запуске Stratoshark после установки вас встретит основной интерфейс, который намеренно копирует привычную структуру Wireshark, обеспечивая плавный переход между инструментами. Приложение отличается понятным, хорошо организованным рабочим пространством, специально разработанным для эффективного анализа системных вызовов.
Доступ к образцам захвата
Чтобы начать изучать возможности Stratoshark без сбора собственных данных, перейдите на официальный сайт wiki.wireshark.org/Stratoshark , где вы найдете несколько образцов SCAP-файлов, специально созданных для учебных целей.
Анализ файлов SCAP с помощью Stratoshark
Открыв SCAP-файл в Stratoshark, вы сразу заметите, что интерфейс напоминает Wireshark. Однако ключевое отличие заключается в панели сведений о событиях (аналог панели сведений о пакетах в Stratoshark).
- Системное событие – работает так же, как заголовок «Frame» в Wireshark.
- Время прибытия – точная временная метка, когда произошло событие
- Информация о событии – содержит наиболее важные аналитические данные.
- Направление – курсор вправо (>) обозначает вызов от приложения к ОС (запрос), а курсор влево (<) обозначает ответ ОС.
- Тип – показывает, какая конкретно функция системного вызова вызывается.
- Аргументы – отображают значения запроса или ответа, когда это применимо, в зависимости от вызываемой функции.
- Информация о процессе – сведения о процессе, выполняющем или получающем системный вызов.
- Имя – определяет имя процесса.
- Имя родителя — показывает, какой процесс породил текущий (например, в системе, работающей под управлением Apache, вы можете увидеть Имя = kworker и Имя родителя = apache)
- Идентификатор процесса — соответствует идентификатору процесса, который вы видите в таких инструментах, как netstat или top, что упрощает сопоставление с другими источниками данных.
- Информация о дескрипторе файла — если присутствует, показывает сведения о файлах, с которыми взаимодействует процесс.
- Имя FD – поскольку Linux рассматривает почти все как файл, сюда входят сетевые сокеты и другие системные ресурсы.
