五、流量分析
1. 地位
在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,
一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分析的方法,
安全分析
2. Wireshark
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark是全世界最广泛的网络封包分析软件之一
2.1 界面
选择网口
界面情况
分组列表:将流量以分组的形式,简单的呈现出来
分组详情:将流量以TCP/IP 5层模式形式展现出来
分组字节流:将流量以字节流形式展现也就是16进制
2.2 工具栏
2.3 菜单栏
文件菜单栏
编辑菜单栏
视图菜单
2.3.1 分析(重要)
想对数据包中TTL做排序,并且显示出来
选择TTL,应用为列
然后就多了一列
想要去掉列,把勾去掉
可以看协议的追踪流
和BP抓的包一样
2.3.2 统计(重要)
追踪流
只需要会协议分级和会话
(1)协议分级
协议分级统计,可以大致看到抓获的数据包的主要协议情况
看到每个流量的分布
从物理层到网络层
可以看到协议的占比
(2)会话
协议分级统计,可以大致看到抓获的数据包的主要协议情况
对所有的流量进行分析
TCP握手后就是一条会话
2.3.3 过滤
过滤选项一般遵循如下的原则,
协议名.字段名 比较符号 值
比如:
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
tcp.port >= 1 过滤端口大于一
比如过滤window,可以右键,过滤应用,选中
然后就会自动填写表达式
3. 攻击流量分析
先打开小皮
http://localhost/pikachu-master/
进入靶场
选中本地,开始抓包
3.1 XSS攻击
先来XSS攻击
输入
<script>alert(12)<>a
在wireshark中,输入http,选中右键,追踪流,TCP
会看到被XSS攻击
并且攻击成功
3.2 SQL注入
SQL注入攻击
观察是否有该字段
3.3 RCE漏洞
只要看到数据包中有whoami就说明有漏洞
3.4 文件包含注入
只要看到文件名字是jpg/png/php,就有漏洞
该数据包上传的shell.jpg中的内容是php
