为什么需要流量分析?
网络流量包流转于各个环节,我们可以通过捕捉网络中流动的数据包,然后查看流量包内部的数据以及相关协议,流量分析、统计等等。
通常是包含流量数据的PCAP文件进行分析。
流量分析需要掌握的基本知识:
1.分析流量包常用过滤语法
一般情况下,捕捉到数据包可以通过过滤规则得到我们想要的有用的信息,也更好的方便我们进行查找关键信息,提高效率。
基础知识:
TCP:只显示TCP协议的数据流
HTTP:只显示HTTP协议的数据流
ICMP:只显示ICMP协议的数据流
ARP:只显示ARP协议的数据流
DNS:显示DNS协议的数据流
FTP: 只显示FTP协议的数据流常用过滤法则:
直接在过滤器栏即Filter中输入过滤式
IP过滤、HTTP过滤、端口过滤
ip.addr == ip号 #显示与该ip号有关的数据流
http.request
http contains “字符串” #显示包含某字符串(比较常用)
tcp.port == 端口号2.流量包数据
a.查看ping的报文(以wireshark为例,过滤之后)
ping的报文主要由ICMP协议
三个工作区从上至下依次是:
1.数据列表(整个流量包的数据列表)
2.详细数据(主要是具体协议体现,包含重要信息)
3.数据字节(十六进制+ASCII码)基础知识:(第二个工作区域,数据详细区)
有的时候显示的条条不怎么一样,但是都是这么些个层的具体内容体现
Frame 226 (第一行)#数据包的整体信息总概
Ethernet II (第二行)#mac物理地址的相关信息--数据链路层
Internet Protocol Version 4,Src (第三行)#IP地址相关信息--网络层
Internet Control Message Protocol (第四行)#传输层tcp/ip噢!点开每一条就可以看到详细信息,会在对应的数据字节区有显示的。
3.流量分析
除了上面的报文数据流分析,还有一些其他的常见的操作:
a.统计(wireshark为例)
功能:可以很直观的看到流量包的大致情况,以及快速定位到需要分析的地方
b.追踪TCP数据流
在计算机网络中传输层协议最常见的是TCP协议,我们可以通过对TCP数据流的追踪与分析
以buuctf–被劫持的礼物为例子,进行正常的过滤、tcp数据追踪得到
根据题目提示可以得到重要信息
解释一下:红shai—源地址–>目的地址;蓝shai:反之;
有时候需要将追踪到的数据进行文件导出,在进行进一步的分析。
c.特殊的流量分析(略写,缺例子,之后会后续补充)
流量包不是普通的网络流量包,是其它类型的流量包。
比如usb流量分析
主要分为键盘流量,鼠标流量
小结:熟悉相应的协议,从中分析可能会隐藏信息的地方。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
