追踪 Stratoshark 的根源:从数据包捕获到系统调用分析

主要观点:

  • Stratoshark 源于 Sysdig 和 Falco 等早期开源项目,延续了网络数据包分析与现代云原生安全的联系。
  • Falco 利用 libscap 与内核通信,其规则引擎受 Snort 启发,专注于系统调用检测异常。
  • Sysdig 结合 libscap 和 libsinsp 提供系统行为的深入可见性,Falco 不依赖 Sysdig 但利用其相关库。
  • Stratoshark 可通过 falcodump 捕获云提供商的日志消息,在 Linux 系统上支持本地系统调用捕获,可使用现有 SCAP 捕获文件或连接到 AWS 等。

关键信息:

  • 众多工具基于 libpcap 等库,如 Wireshark 依靠 libpcap 进行网络分析,Snort 基于 libpcap 构建网络入侵检测规则引擎。
  • Falco 作为运行时安全工具,专注于系统调用检测,与 Snort 在依赖捕获库方面有相似之处。
  • Stratoshark 利用 libscap 和 libsinsp ,通过插件扩展到云原生环境,提供类似 Wireshark 的用户界面。
  • 可通过 Sysdig OSS 或 Docker 容器获取 SCAP 文件,Stratoshark 可打开现有 SCAP 文件或连接到远程 syscall 服务器。

重要细节:

  • Falco 运行于用户空间,使用 libscap 与内核通信。
  • Stratoshark 安装在 Windows 和 MacOS 上时不支持本地系统调用捕获,需在 Linux 系统上构建。
  • 可通过特定命令安装 Sysdig OSS ,并使用 timeout 命令获取短时间的系统调用捕获。
  • Stratoshark 界面中可使用事件过滤器搜索特定类型的事件,如查找与 cURL 相关的出站连接请求。
  • 可通过特定筛选条件在 Stratoshark 中突出显示系统调用失败的活动。

总结:Stratoshark 融合了传统网络安全与云原生环境的需求,通过利用开源项目的成果,为系统监控和故障排查提供了便捷的工具和方法。

阅读 238
0 条评论