流量分析
流量分析在HVV中的作用
在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分 析的方法
详细的流量如下
Sql 报错
Wireshark介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。
Wireshark的出现改变了这一切,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Wireshark是全世界最广泛的网络封包分析软件之一.
Wireshark下载和安装
下载地址:https://www.wireshark.org/
Wireshark使用-网口选择
网口选择,打开wireshark我们会看到以下的界面,选择响应的网口进行抓包
网口信息 各种上网方式
Wireshark使用-界面介绍
选择网口后进入主页面,可以看到流量包,在主页面可以看到3部分的流量数据,分别为【分组列表】【分组详情】【分组字节流】
Wireshark使用-界面介绍
分组列表:将流量以分组的形式,简单的呈现出来
Wireshark使用-界面介绍
分组详情:将流量以TCP/IP 5层模式形式展现出来
分组字节流:将流量以字节流形式展现也就是16进制
Wireshark使用-工具栏介绍
工具栏就是快捷工具栏的功能共
1、开始捕获分组
2、停止捕获分组
3、重新开始当前捕获
4、捕获选项
5、打开以保存的捕获文件
6、保存捕获文件
7、关闭捕获文件
8、重新加载捕获文件
9、查找一个分组
10、转到前一分组
11、转到下一分组
12、转到特定分组
13、转到首个分组
14、转到最新分组
15、在实时捕获分组时,自动滚动屏幕到最新
分组
16、使用您的着色规则来绘制分组 (不同颜色区分不同流量)
17、放大住窗口文本
18、收缩住窗口文本
19、窗口文本返回正常大小
20、调整分组列表已适应内容
菜单栏放着常用的功能,我这里依次介绍
Wireshark使用-菜单栏-文件
文件菜单里面包含了【打开】【打开最近】【合并】【16进制导入】【关闭】【保存】【另存为】【文件集合】【导出特定分组】【导出分组解析结果】【导出分组字节流】【导出PDU到文件】【导出TLS会话密钥 】【导出到对象】【打印】【退出】等,在这里我重点介绍下以下的 【导出特定分组】
选择一个分组进行导出
【导出分组解析结果】 选择分组后将分组列表进行导出
【导出分组字节流】
选择分组后将分组字节流导出
【导出PDU到文件】
选择您过滤捕获的协议数据单元(pdu)并将它们导出到文件中
【导出TLS会话密钥】 有密码可以导出没有就导不出来
【导出到对象】
将捕获的DICOM、HTTP、IMF、SMB或ftp对象导出到本地文件中
Wireshark使用-菜单栏-编辑
包含了【复制】【查找分组】【查找下一个】【查找上一个】【标记分组】【分组注释】【配置文件】【首选项】Wireshark使用-菜单栏-视图
视图菜单,主要是包含视图的相关配置,比如全屏,显示,时间,着色功能
Wireshark使用-菜单栏-跳转
跳转菜单栏主要包括的对分组的跳转,实际就和我们的鼠标滚轮一样
Wireshark使用-菜单栏-捕获
捕获菜单栏主要可以选择对网口的捕获
Wireshark使用-菜单栏-分析
这里的功能主要是分析功能,作用比较大
【显示过滤表达式】
将过滤表达式都显示出来,图形化的界面选择
【作为过滤应用】
选择相应的字段,作为过滤的应用
【追踪流】
追踪TCP或者其他协议的流量
Wireshark使用-菜单栏-统计
统计菜单栏也是经常用的【协议分级】和【会话】使用最多Wireshark使用-菜单栏-其他
其他的没什么作用
W i r e s h a r k 使 用 技巧
协议分级统计,可以大致看到抓获的数据包的主要协议情况
统计选项可以查看IP连接信息统计
过滤选项一般遵循如下的原则,协议名.字段名 比较符号 值
比如:
tcp.dstport == 80 // 只显tcp协议的目 标端口80
tcp.srcport == 80 // 只显tcp协议的来 源端口80
tcp.port >= 1 过滤端口大于一
常见的攻击流量分析
xss
sql
RCE注入
文件包含注入
文件上传注入