流量分析基础篇

流量分析基础篇流量分析1.流量分析是什么?  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。  CTF比赛中,通常比赛中会提供一个包含流量数据的PCAP文件,进行分析。2.数据包分析总体把握–协议分级–端点统计过滤赛选–过滤…

大家好,又见面了,我是你们的朋友全栈君。

 

流量分析基础篇流量分析

1.流量分析是什么?

  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

  CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。

2.数据包分析

  • 总体把握

–       协议分级

–       端点统计

  • 过滤赛选

–       过滤语法

–       Host,Protocol特征值

  • 发现异常

–       特殊字符串

–       协议某字段

  • 数据提取

–       字符串取

–       文件提取

3.工欲善其事,必先利其器。

  • ——-wireshark
  • ——-tcpdump
  • ——-RawCap
  • 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。

4.宝刀初现

  • Wireshark捕获任何类型的网络数据包。
  • 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
  • wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高https://wizardforcel.gitbooks.io/wiresharkmanual/content/(中文使用文档)

5.宝刀长这个样子

流量分析基础篇

 

6.这个包到底有多少协议

  • Protocol Hierarchy 选项

–     Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议

流量分析基础篇

7.到底谁和谁对话

  • Conversations选项

    Statistics选项中的Conversations选项中包含了谁和谁进行了通信

流量分析基础篇

      事不过三,其余的大家自己研究。

统统过滤

  字符串过滤:

    流量分析基础篇

 

常用过滤:

  • 过滤ip,如源IP或者目标x.x.x.x:

–     ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

  • 过滤端口:

–     tcp.port eq(等于) 80 or udp.port eq 80

  • 过滤MAC:

–     eth.dst == MAC地址

  • 协议过滤:

–     直接在Filter框中直接输入协议名即可,http udp dns

HTTP过滤

  • http模式过滤
  • http.request.method=”POST” 过滤全部POST数据包
  • http.request.uri==”/img/logo-edu.gif”
  • http contains”GET” 模糊匹配 http头中有这个关键字
  • http contains”HTTP/1.” 版本号
  • http.request.method==”GET”&& http contains”User-Agent:”

实践是检验真理的唯一标准

  • 1.发现异常
  • 2.指纹识别
  • 3.明文传输
  • 4.图片提取

    一双明亮的大眼睛:

      流量分析基础篇

    明文传输

      流量分析基础篇

      流量分析基础篇

    指纹识别

      流量分析基础篇

    

  其余常用指纹

  • Awvs:
    • acunetix_wvs_security_test acunetix
    • acunetix_wvs acunetix_test
    • Acunetix-Aspect-Password:Cookie:
    • acunetix_wvs_security_test X-Forwarded-Host:
    • acunetix_wvs_security_test X-Forwarder-For:
    • acunetix_wvs-security_test Host:
    • acunetix_wvs_security_test
  • Netsparker:
    • X-Scanner:NetsparkerLocation:
    • NetsparkerAccept:netsparker/chechCookie:
    • netsparkerCookie:NETSPARKER
  • Appscan:
    • Headers Content-Type:Appscan
    • Content-Type:AppScanHeader
    • Accept:Appscan User-Agent:Appscan
  • Nessus:
    • x_forwarded_for:nessus
    • referer:nessus
    • host:nessus
  • sqlmap:
    • User-Agent:sqlmap1.2.8#stable

  图片提取  

     1.找到上传图片的数据包 

流量分析基础篇

    2.追踪TCP流,选中右键追踪TCP流。

    流量分析基础篇

    3.点击保存,使用winhex打开。删除红框中的东西,保存打开即可。

    流量分析基础篇

等级提升  

  • 1.目录扫描
  • 2.一句话木马
  • 3.流量包解密

  目录扫描

     1.分析流量包,看到是进行目录扫描

    流量分析基础篇

    2.在最后发现可疑操作。

    流量分析基础篇

    3.使用HTTP导出数据,使用php进行解压。

      流量分析基础篇

   骑个马

    1.由目录看出,应该是一句话木马上传之后

     流量分析基础篇

    2.追踪流量发现为中国菜刀的流量

     流量分析基础篇

    3.继续追踪发现有rar文件和一个png文件。提取即可

    流量分析基础篇

     流量分析基础篇

  流量包解密

    1.打开如下。

    流量分析基础篇

    2.先破解无线密码

      使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID    0719

      流量分析基础篇

      使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码

      流量分析基础篇

      

    • 知道了无线ESSID和密码。然后解密数据包。
    • 然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密
    • 流量分析基础篇

      流量分析基础篇

       

 FTP协议分析

  1.直接搜索ftp,发现三个文件

     流量分析基础篇

    2..把文件提取出来看看。追踪TCP保存出来

    流量分析基础篇

 

      3.尝试伪加密,解开。09改成00

       流量分析基础篇

      4.然而flag没在这里

       5.还有一个key.log.能发现这是一份NSS Key Log Format的文件,而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来,然后在以密钥发方式导入(Edie->preferences->SSL)

      流量分析基础篇

                                                            JMC —-胖丫

 

      

转载于:https://www.cnblogs.com/pangya/p/9936024.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137800.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号