为什么需要流量分析?

网络流量包流转于各个环节,我们可以通过捕捉网络中流动的数据包,然后查看流量包内部的数据以及相关协议,流量分析、统计等等。
通常是包含流量数据的PCAP文件进行分析。

流量分析需要掌握的基本知识:

1.分析流量包常用过滤语法

一般情况下,捕捉到数据包可以通过过滤规则得到我们想要的有用的信息,也更好的方便我们进行查找关键信息,提高效率。
基础知识

TCP:只显示TCP协议的数据流
HTTP:只显示HTTP协议的数据流
ICMP:只显示ICMP协议的数据流
ARP:只显示ARP协议的数据流
DNS:显示DNS协议的数据流
FTP: 只显示FTP协议的数据流

常用过滤法则:
直接在过滤器栏即Filter中输入过滤式
IP过滤、HTTP过滤、端口过滤

ip.addr == ip号  #显示与该ip号有关的数据流
http.request 
http contains “字符串”   #显示包含某字符串(比较常用)
tcp.port == 端口号

2.流量包数据

a.查看ping的报文(以wireshark为例,过滤之后)

ping的报文主要由ICMP协议

流量分析redis 流量分析包括哪些内容_流量分析redis

三个工作区从上至下依次是:
1.数据列表(整个流量包的数据列表)
2.详细数据(主要是具体协议体现,包含重要信息)
3.数据字节(十六进制+ASCII码)

基础知识:(第二个工作区域,数据详细区)
有的时候显示的条条不怎么一样,但是都是这么些个层的具体内容体现

Frame 226 (第一行)#数据包的整体信息总概
Ethernet II (第二行)#mac物理地址的相关信息--数据链路层
Internet Protocol Version 4,Src (第三行)#IP地址相关信息--网络层
Internet Control Message Protocol (第四行)#传输层tcp/ip

噢!点开每一条就可以看到详细信息,会在对应的数据字节区有显示的。

3.流量分析

除了上面的报文数据流分析,还有一些其他的常见的操作:

a.统计(wireshark为例)

功能:可以很直观的看到流量包的大致情况,以及快速定位到需要分析的地方

流量分析redis 流量分析包括哪些内容_数据_02


b.追踪TCP数据流

在计算机网络中传输层协议最常见的是TCP协议,我们可以通过对TCP数据流的追踪与分析

以buuctf–被劫持的礼物为例子,进行正常的过滤、tcp数据追踪得到

流量分析redis 流量分析包括哪些内容_流量分析redis_03


根据题目提示可以得到重要信息

解释一下:红shai—源地址–>目的地址;蓝shai:反之;

有时候需要将追踪到的数据进行文件导出,在进行进一步的分析。

c.特殊的流量分析(略写,缺例子,之后会后续补充)
流量包不是普通的网络流量包,是其它类型的流量包。
比如usb流量分析
主要分为键盘流量,鼠标流量

小结:熟悉相应的协议,从中分析可能会隐藏信息的地方。