流量，日志分析

wireshark

wireshark中有捕获过滤器和显示过滤器

常用的捕获过滤表达式：

常见的显示过滤表达式：

语法：

1.过滤IP，如来源IP或者目标IP等于某个IP

例子:
ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者
ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

2.过滤端口

例子:
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

3.过滤协议

例子:
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等
排除arp包，如!arp 或者 not arp

4.过滤MAC

MAC地址全称叫媒体访问控制地址，也称局域网地址，以太网地址或者物理地址。MAC地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的MAC地址，用来定义网络设备的位置。

太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne

5.http模式过滤

例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:

6.包长度过滤

例子:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
eth —> ip or arp —> tcp or udp —> data

Windows日志分析

Windows事件日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录

记录的事件包含9个元素：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息

事件日志

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹

Windows主要有三类日志记录系统事件：应用程序日志、系统日志和安全日志

系统日志：

Windows系统组件产生的事件，主要包括驱动程序、系统组件、应用程序错误消息等。

日志的默认位置为：C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志：

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

日志的默认位置为：C:\Windows\System32\winevt\Logs\Application.evtx

安全日志：

主要记录系统的安全信息，包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改，需要指明的是安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。

日志的默认位置为：C:\Windows\System32\winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息

安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么

事件日志分析

Windows事件日志共有五种事件类型，所有的事件必须只能拥有其中的一种事件类型

五种事件类型分别是，信息，警告，错误，成功审核，失败审核

信息：信息事件指应用程序、驱动程序或服务的成功操作的事件

警告：警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

错误：错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

成功审核：成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件

失败审核：失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

常见的登录类型: