流量分析基础篇

流量分析基础篇流量分析1.流量分析是什么?  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。  CTF比赛中,通常比赛中会提供一个包含流量数据的PCAP文件,进行分析。2.数据包分析总体把握–协议分级–端点统计过滤赛选–过滤…

大家好,又见面了,我是你们的朋友全栈君。

 

流量分析基础篇流量分析

1.流量分析是什么?

  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

  CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。

2.数据包分析

  • 总体把握

–       协议分级

–       端点统计

  • 过滤赛选

–       过滤语法

–       Host,Protocol特征值

  • 发现异常

–       特殊字符串

–       协议某字段

  • 数据提取

–       字符串取

–       文件提取

3.工欲善其事,必先利其器。

  • ——-wireshark
  • ——-tcpdump
  • ——-RawCap
  • 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。

4.宝刀初现

  • Wireshark捕获任何类型的网络数据包。
  • 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
  • wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高https://wizardforcel.gitbooks.io/wiresharkmanual/content/(中文使用文档)

5.宝刀长这个样子

流量分析基础篇

 

6.这个包到底有多少协议

  • Protocol Hierarchy 选项

–     Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议

流量分析基础篇

7.到底谁和谁对话

  • Conversations选项

    Statistics选项中的Conversations选项中包含了谁和谁进行了通信

流量分析基础篇

      事不过三,其余的大家自己研究。

统统过滤

  字符串过滤:

    流量分析基础篇

 

常用过滤:

  • 过滤ip,如源IP或者目标x.x.x.x:

–     ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

  • 过滤端口:

–     tcp.port eq(等于) 80 or udp.port eq 80

  • 过滤MAC:

–     eth.dst == MAC地址

  • 协议过滤:

–     直接在Filter框中直接输入协议名即可,http udp dns

HTTP过滤

  • http模式过滤
  • http.request.method=”POST” 过滤全部POST数据包
  • http.request.uri==”/img/logo-edu.gif”
  • http contains”GET” 模糊匹配 http头中有这个关键字
  • http contains”HTTP/1.” 版本号
  • http.request.method==”GET”&& http contains”User-Agent:”

实践是检验真理的唯一标准

  • 1.发现异常
  • 2.指纹识别
  • 3.明文传输
  • 4.图片提取

    一双明亮的大眼睛:

      流量分析基础篇

    明文传输

      流量分析基础篇

      流量分析基础篇

    指纹识别

      流量分析基础篇

    

  其余常用指纹

  • Awvs:
    • acunetix_wvs_security_test acunetix
    • acunetix_wvs acunetix_test
    • Acunetix-Aspect-Password:Cookie:
    • acunetix_wvs_security_test X-Forwarded-Host:
    • acunetix_wvs_security_test X-Forwarder-For:
    • acunetix_wvs-security_test Host:
    • acunetix_wvs_security_test
  • Netsparker:
    • X-Scanner:NetsparkerLocation:
    • NetsparkerAccept:netsparker/chechCookie:
    • netsparkerCookie:NETSPARKER
  • Appscan:
    • Headers Content-Type:Appscan
    • Content-Type:AppScanHeader
    • Accept:Appscan User-Agent:Appscan
  • Nessus:
    • x_forwarded_for:nessus
    • referer:nessus
    • host:nessus
  • sqlmap:
    • User-Agent:sqlmap1.2.8#stable

  图片提取  

     1.找到上传图片的数据包 

流量分析基础篇

    2.追踪TCP流,选中右键追踪TCP流。

    流量分析基础篇

    3.点击保存,使用winhex打开。删除红框中的东西,保存打开即可。

    流量分析基础篇

等级提升  

  • 1.目录扫描
  • 2.一句话木马
  • 3.流量包解密

  目录扫描

     1.分析流量包,看到是进行目录扫描

    流量分析基础篇

    2.在最后发现可疑操作。

    流量分析基础篇

    3.使用HTTP导出数据,使用php进行解压。

      流量分析基础篇

   骑个马

    1.由目录看出,应该是一句话木马上传之后

     流量分析基础篇

    2.追踪流量发现为中国菜刀的流量

     流量分析基础篇

    3.继续追踪发现有rar文件和一个png文件。提取即可

    流量分析基础篇

     流量分析基础篇

  流量包解密

    1.打开如下。

    流量分析基础篇

    2.先破解无线密码

      使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID    0719

      流量分析基础篇

      使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码

      流量分析基础篇

      

    • 知道了无线ESSID和密码。然后解密数据包。
    • 然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密
    • 流量分析基础篇

      流量分析基础篇

       

 FTP协议分析

  1.直接搜索ftp,发现三个文件

     流量分析基础篇

    2..把文件提取出来看看。追踪TCP保存出来

    流量分析基础篇

 

      3.尝试伪加密,解开。09改成00

       流量分析基础篇

      4.然而flag没在这里

       5.还有一个key.log.能发现这是一份NSS Key Log Format的文件,而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来,然后在以密钥发方式导入(Edie->preferences->SSL)

      流量分析基础篇

                                                            JMC —-胖丫

 

      

转载于:https://www.cnblogs.com/pangya/p/9936024.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137800.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • NDT配准原理_icp配准算法

    NDT配准原理_icp配准算法文章目录NDT预备知识正态分布高斯牛顿法求解非线性最小二乘NDT原理(1)目标函数(2)简化目标函数(3)数值求解(4)算法流程:(5)相比ICP的优势NDT源码解析与其在PCL应用参考资料NDT预备知识正态分布n维正态随机过程中,其概率密度函数为:p(x⃗)=1(2π)D/2∣Σ∣exp⁡(−(x⃗−μ⃗)TΣ−1(x⃗−μ⃗)2)(1)p(\vec{x})=\frac{1}{(2\pi)^{D/2}\sqrt{|\boldsymbol{\Sigma}|}}\exp\left(-\f

    2022年10月27日
  • noip2014普及组复赛试题_大一高数期末考试试题

    noip2014普及组复赛试题_大一高数期末考试试题T1考察计算机基础知识,所谓集成电路是将大量的晶体管和电子线路组合在一块硅片上,故又称为芯片。故选AAA。T2HTMLHTMLHTML超文本标记语言阅读方式是浏览器,浏览器主要用于显示网页服务器。T3英特尔公司是全球最大的个人计算机零件和CPU制造商。T4TCP/IP模型AAA项最符合该图形式。T5快速排序的期望复杂度是O(nlogn)O(nlogn)O(nlogn)的,最坏情况(已经排好序的序列)是O(n2)O(n^2)O(n2)的。T6第一代:电子管计算机第二代:晶体管计

  • ofo在MaxCompute的大数据开发之路

    ofo在MaxCompute的大数据开发之路

  • vue双向数据绑定的原理「建议收藏」

    vue双向数据绑定的原理「建议收藏」有关双向数据绑定的原理最近两次面试的时候,被问到了vue中双向数据绑定的原理,因为初学不精,只是使用而没有深入研究,所以答不出来。之后就在网上查找了别人写的博客,学习一下。下面是博客园一篇博客,以及MDN上讲解Object.defineProperty()方法的地址。文章链接:vue的双向绑定原理及实现Mozilla开发者服务:Object.defineProperty…

    2022年10月17日
  • IsBackground_background和background-color

    IsBackground_background和background-color1、当在主线程中创建了一个线程,那么该线程的IsBackground默认是设置为FALSE的。2、当主线程退出的时候,IsBackground=FALSE的线程还会继续执行下去,直到线程执行结束。3、只有IsBackground=TRUE的线程才会随着主线程的退出而退出。4、当初始化一个线程,把Thread.IsBackground=true的时候,指示该线程为后台线程。后台…

    2022年10月17日
  • DOS命令COPY与XCOPY有什么区别「建议收藏」

    DOS命令COPY与XCOPY有什么区别「建议收藏」内部命令COPY与外部命令XCOPY在作用及使用方法上有什么区别?首先说一下内外部命令的区别,内部命令是在启动DOS后调入计算机内存中常驻的,外部命令是刻在磁盘上面的,使用时内部命令可以在每一个盘符下从内存直接执行,而外部命令执行时除了外部命令所在目录及设定好路径的盘符下执行外,在其它位置执行都需要指明此命令所在路径,执行时都是从磁盘调入内存来执行。至于COPY和XCOPY的区别是:用

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号