应急响应-流量分析

在应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。

  • Wireshark是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。
  • 在打开Wireshark后,需要对要获取流量的网卡进行选择。在选择网卡后,就可以获取相关的数据流量包了,Wireshark界面如图所示。

  • 在应急响应中,对应监听获取后的流量,还需要进行提取过滤。Wireshark的筛选器可以很好地完成这个功能。Wireshark的筛选器可以找出所希望进行分析的数据包。简单来说,筛选器就是定义了一定条件,用来包含或者排除数据包的表达式,从而达到筛选出自己想要的数据包的目的。筛选器也支持与(and)、或(or)、非(not)等逻辑运算符,可以提高筛选效率。
常用的过滤器命令
对特定IP进行过滤
  • 使用【ip.addr == ip】命令,可对特定IP地址进行过滤。对192.168.198.225IP地址进行过滤,如图所示。
对指定的源IP地址进行过滤
  • 使用【ip.src == ip】 命令,可对指定的源IP地址进行过滤。对源IP地址192.168.198.225进行过滤,如图所示。
对协议进行筛选
  • 直接输入HTTP、HTTPS、SMTP、ARP等协议进行筛选,如图所示。
对端口进行过滤
  • 使用【tcp.port == 端口号】或【udp.port ==端口号】命令,可对端口进行过滤。使用【tcp.port==445】命令对445端口进行过滤,如图所示。
对关键字进行检索
  • 使用【tcp contains strings】命令,可对数据包中的关键字进行检索,对流量中包含某一关键字的数据包进行筛选。使用【 tcp contains baidu】命令进行筛选baidu关键字,如图所示。
永痕之蓝利用
  • 以MS17-010流量分析为例,具体介绍相关用法。MS17-010是“永痕之蓝”漏洞,自2017年被曝光后,WannaCry勒索病毒利用此漏洞迅速感染蔓延,引发标志性的安全事件。之后各种恶意软件(无论是勒索病毒,还是挖坑软件),在攻击载荷中都会加入“永痕之蓝”漏洞的攻击方法。
  • 打开一个获取到的MS17-010的流量包,发现其中有SMB协议流量包,如图所示。
  • 因为MS17-010漏洞是通过SMB协议进行攻击的,所以下一步可对SMB协议端口进行筛选。输入【SMB】命令,筛选SMB协议流量,如图所示。
  • 攻击载荷一般会发送NT Trans Request载荷,里面有大量的NOP指令,如图所示。
  • 在发送NT Trans Request载荷后,会发送Trans2 Secondary Request载荷,相关的Trans2 Secondary Request载荷会分几个数据包发送加密的攻击载荷,如图所示。
  • 在攻击载荷发送完后,如果发现数据包中存在Multiplex ID:82数据包,说明漏洞攻击成功,如图所示。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/356439.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

全连MGRE(OSPF)综合实验

一.要求 二.底层--所有节点拥有合法ip地址 r1: r2(isp): r3: r4: r5: r6: 三.全网可达 r1: r3: r4: r5: r6: 四.构建全连的MGRE环境 R1-R3-R4 R1: r3: r4: R1-R5-R6 r1: r5: r6: 五.ospf配置 R1: r3: r4: r5: r6:…

Linux下安装edge

edge具有及其强大的功能,受到很多人的喜爱,它也开发Linux版本,下面是安装方法: 1.去edge官网下载Linux(.deb)文件。 https://www.microsoft.com/zh-cn/edge/download?formMA13FJ 2.下载之后输入以下指令(后面是安装…

Docker私有仓库搭建

目录 搭建本地私有仓库 Docker--harbor私有仓库部署与管理 Harbor 简介 什么是Harbor Harbor的特性 Harbor的构成 Harbor 部署 部署 Docker-Compose 服务 ​编辑部署 Harbor 服务 启动 Harbor 进入浏览器http://192.168.20.10进入harbor的客户端 搭建本地私有仓库 …

如何本地搭建Tale博客网站并发布到公网分享好友远程访问——“cpolar内网穿透”

文章目录 前言1. Tale网站搭建1.1 检查本地环境1.2 部署Tale个人博客系统1.3 启动Tale服务1.4 访问博客地址 2. Linux安装Cpolar内网穿透3. 创建Tale博客公网地址4. 使用公网地址访问Tale 前言 今天给大家带来一款基于 Java 语言的轻量级博客开源项目——Tale,Tale…

【linux】磁盘相关命令fdisk/lsblk和file

1. fdisk 磁盘分区,查看系统分区。 fdisk 的意思是 固定磁盘(Fixed Disk) 或 格式化磁盘(Format Disk),它是命令行下允许用户对分区进行查看、创建、调整大小、删除、移动和复制的工具。它支持 MBR、Sun、SGI、BSD 分区表,但是它不支持 GUI…

Nginx实现反向代理负载均衡实验

实验环境: VM REdhat虚拟机(192.168.87.5)一台、VM Redhat虚拟机(192.168.87.3)一台、阿里云服务器(47.93.79.92)一台 实验要求:通过windows浏览器访问192.168.87.5(虚…

Hugging Face创始人分享:企业如何在ChatGPT浪潮下实现战略布局

Hugging Face创始人兼首席执行官 Clem Delangue在IBM一年一度的 THINK大会中研讨了当前人工智能发展趋势,特别是ChatGPT模型以及其对行业的影响。他的演讲还涉及到一个关键的议题,在ChatGPT这样的通用模型出现后,企业如何在人工智能领域找到自…

window下如何安装ffmpeg(跨平台多媒体处理工具)

ffmpeg是什么? FFmpeg是一个开源的跨平台多媒体处理工具,可以用于录制、转换和流媒体处理音视频。它包含了几个核心库和工具,可以在命令行下执行各种音视频处理操作,如剪辑、分割、合并、媒体格式转换、编解码、流媒体传输等。FFmpeg支持多…

应急响应-威胁情报

在应急响应中,威胁情报类似一个多维度的知识库,可以对以往相似的恶意元素进行查询。很多时候,结合威胁情报可以从对维度快速地了解攻击者的信息。SANS研究院对威胁情报的定义是,针对安全威胁、威胁者、利用、恶意软件、漏洞和危害…

写在28岁,回看3年前“啃老”的自己,庆幸当时入了软件测试这行

🍅 视频学习:文末有免费的配套视频可观看 🍅 点击文末小卡片 ,免费获取软件测试全套资料,资料在手,薪资嘎嘎涨 为什么会学习软件测试? 已经28岁了,算一下快过去3年了,刚…

图片中的水印怎么去掉?教你三个去水印方法

在拍摄照片时,有时候会遇到不期而遇的路人出现在镜头中,给照片带来不必要的干扰。这时候我们就需要把路人给去掉,让照片变的更加完美。下面我将给大家分享三个把照片中的路人去掉的小妙招。 一、水印云 水印云是一款非常实用的图片处理工具…

CMS网站渗透-Server2206-(解析+环境)

B-5:CMS网站渗透 任务环境说明: 服务器场景:Server2206(关闭链接)服务器场景操作系统:未知 1.使用渗透机对服务器信息收集,并将服务器中网站服务端口号作为flag提交; 2.使用渗透机…

海外云手机三大优势

在全球化潮流下,企业因业务需求对海外手机卡等设备的需求不断攀升,推动了海外云手机业务的蓬勃发展。相较于自行置备手机设备,海外云手机不仅能够降低成本,还具备诸多优势,让我们深入探讨其中的三大黄金优势。 经济实惠…

Armv8-M的TrustZone技术之测试目标指令

为了允许软件确定内存位置的安全属性,使用了TT指令(Test Target)。 Test Target(TT)查询内存位置的安全状态和访问权限。 Test Target Unprivileged(TTT)查询内存位置的安全状态和访问权限,以进行对该位置的非特权访问。 Test Target Alternate Domain(TTA)和Test…

新火种AI|Taylor Swift不雅照被疯传!AI背后的隐患和危机引人深思...

作者:小岩 编辑:彩云 如今本就是一个信息爆炸的年代,再伴随2023年AI技术的井喷式发展,AI正在以迅雷不及掩耳之势渗透到我们生活的方方面面。不过,AI技术是一把双刃剑,我们在享受AI技术带来的便捷和实用的…

算法沉淀——二分查找(leetcode真题剖析)

算法沉淀——二分查找 01.二分查找02.在排序数组中查找元素的第一个和最后一个位置03.搜索插入位置04.x 的平方根05.山脉数组的峰顶索引06.寻找峰值07.寻找旋转排序数组中的最小值08.LCR 173. 点名 二分查找(Binary Search)是一种在有序数组中查找特定元…

SpringBoot项目实现热部署的配置方法

SpringBoot项目实现热部署的配置方法 1、什么是热部署? 热部署,就是在应用正在运行的时候升级软件,却不需要重新启动应用。 2、什么是SpringBoot热部署? SpringBoot热部署就是在项目正在运行的时候修改代码, 却不需要重新启动…

SSD详解

1 SSD介绍 Single Shot MultiBox Detector(SSD, 单步多框 目标检测) 2 SSD结构 SSD 基础网络结构使用VGG 全部结构如下: 重用Faster R-CNN的Anchors机制,在feature map上提取各种不同尺度大小的default box,也就是类似Anchor的一系列大小固…

(七)for循环控制

文章目录 用法while的用法for的用法两者之间的联系可以相互等价用for改写while示例for和while的死循环怎么写for循环见怪不怪表达式1省略第一.三个表达式省略(for 改 while)全省略即死循环(上面已介绍) 用法 类比学习while语句 …

蓝牙简学(四)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 HID协议一、摘要二、设备实现1. 大概要写的数据解释2. 代码例子3. 代码例子(c) HID协议 一、摘要 HID(Human Interface Device…