网络安全流量分析领域中，wireshark和csnas是取证、安全分析的好工具，包括很多研究安全规则、APT及木马流量特征的小伙伴，也会常用到两个工具。这两款流量嗅探、分析软件，今天先介绍wireshark作为安全分析工具的基本使用。

2|002.基本使用

 Wireshark对pcap包分析过程中常用的功能基本上包括：数据包筛选、数据包搜索、流还原、流量提取等。本次的演示找到了CTF相关pcap包，如感兴趣可自己下载分析：

链接：https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA  提取码：k0y4 

2.1 数据包筛选

海量数据中要想能察觉到可疑通信，找到攻击的蛛丝马迹，那就需要对一些端口、协议、请求方式和攻击特征等进行过滤，不断缩小可疑流量范围，才能更好进一步分析达到最终溯源的目的。

2.1.1 筛选IP

※流量过滤中可以使用过滤可疑IP或排除一些无用信息，减少无关流量包的干扰，更直接定位目标。

>筛选特定IP，过滤出所有与192.168.94.233相关的流量

语法：ip.addr==192.168.94.233

>筛选源IP，过滤出所有源ip都为192.168.94.233

语法：ip.src==192.168.94.233

同样过滤目的IP语法：ip.dst==192.168.94.233

且关系使用&&：ip.dst==192.168.94.233&& ip.dst==192.168.32.189

或关系使用||：ip.dst==192.168.94.233||ip.dst==192.168.32.189

非关系：!=

2.1.2HTTP模式过滤

※在web攻击流量分析中，http显得尤为重要，根据攻击特点过滤http流量能更准确定位攻击；如常见上传webshell使用POST请求、指定URI可疑发现一些上传路径或者后台等，另也可以从包含的一些关键特征判断使用的工具、木马、脚本等。

http请求方式为GET语法：http.request.method==”GET”

http请求方式为POST语法：http.request.method==”POST”

请求的URI为/login.php语法：http.request.uri==”/login.php”

请求的http中包含sqlmap的语法：http contains “sqlmap”

请求方式为GET且请求中包含UA信息：http.request.method==”GET” && http contain “User-Agent”

 2.1.3 mac地址筛选:

※这部分过滤和IP过滤作用一样

 eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

 eth.addr==A0:00:00:04:C5:84 筛选MAC地址

 2.1.4  端口筛选：

※通过常见端口如445、1433、3306等可以定位相关特殊的服务。

tcp.dstport == 80  筛选tcp协议的目标端口为80 的流量包

tcp.srcport == 80  筛选tcp协议的源端口为80 的流量包

udp.srcport == 80  筛选udp协议的源端口为80 的流量包

2.1.5  协议筛选：

※协议过滤可以根据相关服务使用的协议类型进行

tcp  筛选协议为tcp的流量包

udp 筛选协议为udp的流量包

arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

 2.1.6  包长度筛选：

※包长度、大小可以利用判断一些木马特征，扫描特征、ddos等

udp.length ==20   筛选长度为20的udp流量包

tcp.len >=20  筛选长度大于20的tcp流量包

ip.len ==20  筛选长度为20的IP流量包

frame.len ==20 筛选长度为20的整个流量包

2.2 数据流分析

使用wireshark进行威胁流量发现时候，除了判断包特征，访问日志，证书等，数据量是较为直观发现异常行为的方式，我们常会查看一些HTTP流、TCP流和UDP流进行流量分析，wireshark中常用方法：

这里我就用找一个后台登入的http流做展示

1)找疑似后台登入点：http contains login

2）判断登入是否成功，这时可以查看http流的响应情况进行分析：”右键-追踪流-HTTP流”

 

可以根据数据流的请求头、请求体判断源IP的一些信息，这个有助于进行追踪；响应头、响应体可以作为本次请求是否成功，达到的响应效果的判断。

HTTP流之外还会有TCP流、UDP流、HTTPS流等，操作的方法是一样的；

2.3文件还原

※攻击流量中少不了恶意脚本，样本文件，这时能对样本提取是对威胁攻击的进一步分析十分重要。而使用wireshark就可以做到简单文件还原，当然如果你需要对批量文件还原，可能还需要一些自己研究的工具进行还原，下面说一下wireshark怎么进行还原：

1）“文件-导出对象”这样可以选择导出的协议类型数据，选择http后会出现数据包所有的关于http协议的数据包；在所有http数据流中的文件，选中进行save进行；其他协议相关文件也一样。

 

2）分组字节流还原

对于特定的字节流可以“右键-导出分组字节流”最后保存就ok了

 

总结：wireshark比较适合对于小流量包威胁数据进行分析，CTF赛事也会常用wireshark进行分析；作为网络流量安全分析的好工具，功能其实也很多，本次分享的只是一些常见功能，如果对网络流量安全分析感兴趣，可以多去使用wireshark研究攻击数据包特征，可以先从简单web攻击数据包开始，再去看看一些窃密、木马、APT相关数据包，后面我也会慢慢分享一些关于分析威胁流量包的文章，也是记录自己的一个学习过程。