流量分析

流量分析

流量分析在HVV中的作用

在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析，一般是使用态势感知，全流量分析，防火墙等安全设备来捕获流量，并且对其进行流量分析，我们需要掌握流量特征和分 析的方法

详细的流量如下

Sql 报错

Wireshark介绍

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。

Wireshark的出现改变了这一切，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是全世界最广泛的网络封包分析软件之一.

Wireshark下载和安装

下载地址：https://www.wireshark.org/

Wireshark使用-网口选择

网口选择，打开wireshark我们会看到以下的界面，选择响应的网口进行抓包

网口信息  各种上网方式

Wireshark使用-界面介绍

选择网口后进入主页面，可以看到流量包，在主页面可以看到3部分的流量数据，分别为【分组列表】【分组详情】【分组字节流】

Wireshark使用-界面介绍

分组列表：将流量以分组的形式，简单的呈现出来

Wireshark使用-界面介绍

分组详情：将流量以TCP/IP 5层模式形式展现出来

分组字节流：将流量以字节流形式展现也就是16进制

Wireshark使用-工具栏介绍

工具栏就是快捷工具栏的功能共

1、开始捕获分组

2、停止捕获分组

3、重新开始当前捕获

4、捕获选项

5、打开以保存的捕获文件

6、保存捕获文件

7、关闭捕获文件

8、重新加载捕获文件

9、查找一个分组

10、转到前一分组

11、转到下一分组

12、转到特定分组

13、转到首个分组

14、转到最新分组

15、在实时捕获分组时，自动滚动屏幕到最新

分组

16、使用您的着色规则来绘制分组 （不同颜色区分不同流量）

17、放大住窗口文本

18、收缩住窗口文本

19、窗口文本返回正常大小

20、调整分组列表已适应内容

菜单栏放着常用的功能，我这里依次介绍

Wireshark使用-菜单栏-文件

文件菜单里面包含了【打开】【打开最近】【合并】【16进制导入】【关闭】【保存】【另存为】【文件集合】【导出特定分组】【导出分组解析结果】【导出分组字节流】【导出PDU到文件】【导出TLS会话密钥 】【导出到对象】【打印】【退出】等，在这里我重点介绍下以下的 【导出特定分组】

选择一个分组进行导出

【导出分组解析结果】 选择分组后将分组列表进行导出

【导出分组字节流】

选择分组后将分组字节流导出

【导出PDU到文件】

选择您过滤捕获的协议数据单元(pdu)并将它们导出到文件中

【导出TLS会话密钥】 有密码可以导出没有就导不出来

【导出到对象】

将捕获的DICOM、HTTP、IMF、SMB或ftp对象导出到本地文件中

Wireshark使用-菜单栏-编辑

包含了【复制】【查找分组】【查找下一个】【查找上一个】【标记分组】【分组注释】【配置文件】【首选项】Wireshark使用-菜单栏-视图

视图菜单，主要是包含视图的相关配置，比如全屏，显示，时间，着色功能

Wireshark使用-菜单栏-跳转

跳转菜单栏主要包括的对分组的跳转，实际就和我们的鼠标滚轮一样

Wireshark使用-菜单栏-捕获

捕获菜单栏主要可以选择对网口的捕获

Wireshark使用-菜单栏-分析

这里的功能主要是分析功能，作用比较大

【显示过滤表达式】

将过滤表达式都显示出来，图形化的界面选择

【作为过滤应用】

选择相应的字段，作为过滤的应用

【追踪流】

追踪TCP或者其他协议的流量

Wireshark使用-菜单栏-统计

统计菜单栏也是经常用的【协议分级】和【会话】使用最多Wireshark使用-菜单栏-其他

其他的没什么作用

W i r e s h a r k 使 用 技巧

协议分级统计，可以大致看到抓获的数据包的主要协议情况

统计选项可以查看IP连接信息统计

过滤选项一般遵循如下的原则，协议名.字段名 比较符号 值

比如：

tcp.dstport == 80 // 只显tcp协议的目 标端口80

tcp.srcport == 80 // 只显tcp协议的来 源端口80

tcp.port >= 1 过滤端口大于一

常见的攻击流量分析

xss

sql

RCE注入

文件包含注入

文件上传注入