流量分析基础篇

news/2024/12/23 13:57:12/文章来源:https://www.cnblogs.com/xaybs/p/18623815

1.流量分析是什么?

  网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。


2.常见的流量包协议


TCP ; UDP ; HTTP ; HTTPS ; FTP ; SMB

TCP / UDP传输机制

TCP协议传输先向你发送三次握手建立链接,中途中断会停止发送保证数完整

图片

这里SYN表示请求一个连接,SYN,ACK表示已经收到请求连接。

UDP协议传输就直接传输,哪怕你中途断开也不会影响它继续传输

图片

HTTP/HTTPS协议

超文本传输协议 ( HTTP) 是一种无状态应用层协议HTTP 支持在客户端和服务器之间以明文形式传输数据。客户端将向服务器发送 HTTP 请求,请求资源。建立会话,服务器响应请求的媒体(HTML、图像、超链接、视频)。HTTP 在正常操作期间通过 TCP 使用端口 80 或 8000。在特殊情况下,它可以修改为使用备用端口,有时甚至可以使用 UDP。

图片

HTTP Secure ( HTTPS) 是对 HTTP 协议的修改,目的是利用 TLS / SSL 与较旧的应用程序一起使用以确保数据安全。TLS 被用作加密机制来保护客户端和服务器之间的通信。TLS 可以将常规 HTTP 流量包装在 TLS 中,这意味着我们可以加密我们的整个对话,而不仅仅是发送或请求明文数据。在 TLS 机制到位之前,我们很容易受到中间人攻击和其他类型的侦察或劫持,这意味着如果与客户端或服务器位于同一局域网中的任何人正在监听数据包,那他们都可以查看 Web 流量。我们现在可以提高浏览器的安全性,使每个人都可以加密他们的搜索请求、会话或数据传输、银行交易等。它的基础是 HTTP,但 HTTPS 使用端口 443 和 8443 而不是标准端口 80。这是客户端向服务器发送它希望建立安全连接的信号。

FTP

文件传输协议 ( FTP) 是一种应用层协议,可在计算设备之间实现快速数据传输。可以从命令行、Web 浏览器或FileZilla 等图形化客户端使用 FTP。FTP的使用方法也简单当我和朋友在一个WiFi下面(也就是局域网)需要传输东西给他这时候没有别的传输介质就可以用FTP传输FTP 通过 TCP 使用端口 20 和 21。端口 20 用于数据传输,而端口 21 用于发出控制 FTP 会话的命令,并且FTP 支持用户身份验证以及匿名访问。在一些断网的比赛环境这种方法还是用的多

图片

SMB

服务器消息块 ( SMB) 是一种在 Windows 企业环境中最常见的协议之一,它是一种面向连接的协议,支持在主机之间共享资源。SMB协议需要对用户进行身份验证,以确保用户具有使用该资源或执行操作的正确权限。以前,SMB 在 UDP 137 和 138 端口上使用 NetBIOS 作为其传输机制。现在 SMB 支持在端口 445 上直接进行 TCP 传输,NetBIOS在 TCP 端口 139 上。SMB 使我们能够轻松方便地访问打印机、共享驱动器、身份验证服务器等资源。因此,SMB 对攻击者也非常有吸引力。与其他使用 TCP 作为传输机制的应用程序一样,它执行标准的三次握手,并且确认接收到的数据包。

3.抓包工具

 a.  wireshark 

WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。这个是英文界面对新手来说可能不太友好但是现在这个软件可以打中文补丁个人比较推荐

图片

图片

b.  科来网络分析系统

科来网络分析系统是网络故障分析、数字安全取证、协议分析学习等使用场景的“利器”。它无需复杂的部署工作,当您有网络流量分析的需求时,可直接安装在您的随行电脑中使用,无论是固定节点使用,还是临检需求,都可以灵活、高效的帮助用户解决网络性能与安全方面的实际问题。中文面板初学者可以用,我刚入坑的时候就是用的这个

图片

4.案例

基础大概就是这些工具安装好就可以试着去分析一些流量包我这里也是有一些流量分析的题目,现在过一遍

L1-1 流量分析

流量包描述:

某天晚上安服仔小辉辉上班摸鱼期间突然发现服务器登入页面被挤掉线了,于是第六感告诉他,服务器肯定是被黑客攻击了,于是他赶紧把服务器的网线拔了并调取了那段时间的流量,然后慌忙的找到你,求求你救救安服仔吧

1、通过分析数据包L1-1.pcapng找出恶意用户的IP地 址,并将恶意用户的IP地址作为FLAG(形式:[IP地址])提交:

打开文件看见http的流量包比较多可以过滤一些http的流量包

图片

过滤之后看见172.16.1.102 在对172.16.1.101进行sql注入所以攻击者ip就出来了

图片

FLAG:[172.16.1.102]

2.继续查看数据包文件L1-1.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为 FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交:

用命令过滤一下端口 

这个命令的意思是过滤TCP的流量包从里面抓取带SYN的流量包筛选出所有源地址为 172.16.1.102 的 IP 数据包。现在的扫描器一般都是用的TCP扫描所以用这个就可以把TCP的扫描流量过滤出来

tcp.connection.syn and ip.src == 172.16.1.102

图片

FLAG:[20,23,80,445,3389,5007]

3.继续查看数据包文件L1-1.pacapng分析出恶意用户最终获得的用户名是什么,并将用户名作为 FLAG(形式:[用户名])提交:

要在一个巨大的流量包里面找到一个用户名要先分析http流量的提交方式http的提交方式还是带用户名的那肯定就是有表单了,直接过滤POST关键字账号密码就出来了

http.request.method == "POST"

图片

FLAG:[lancelot]

4.继续查看数据包文件L1-1.pacapng分析出恶意用户最终获得的密码是什么,并将密码作为 FLAG(形式:[密码])提交:

上面一个题那个流量包里有账号和密码

FLAG:[12369874]

5.继续查看数据包文件L1-1.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话 密码作为FLAG(形式:[一句话密码])提交:

这里说一下一句话木马 一句话木马简称Webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此

常见的一句话木马

php的一句话木马:<?php @eval($_POST['pass']);?>

asp的一句话是:   <%eval request ("pass")%>

aspx的一句话是:  <%@ Page Language="Jscript"%> <%eval(Request.Item["pass"],"unsafe");%>

这里还是查POST表单因为一句话木马也是要靠表单上传上去的

图片

FLAG:[alpha]

6.继续查看数据包文件L1-1.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为 FLAG(形式:[文件名.后缀名])提交:

看它的POST流量里面最后一个里面看到了下载的文件

图片

FLAG:[flag.zip]

7.继续查看数据包文件L1-1.pacapng将恶意用户下载的文件里面的内容作为FLAG(形式:[文件 内容])提交:

现在要把最后下载的文件从流量包里分离出来,要去找到这个POST流量包的响应包右击流量包追踪流追踪http的流量

图片

追踪HTTP流这一段对话里面POST的下载请求,下面那个回复200是状态码,表示同意,最下面的是下载请求要下载的内容

图片

现在要把这个流量包分离出来追踪流还原原始数据另存为导出这个流量

图片


导出来之后重命名和上面下载的文件名格式一样会发现解压需要密码但是我们没有密码准备用别的方法我们直接打开kali用隐写分离神器Binwalk强行把文件提取出来拿到flag的值

图片

FLAG:[flag{Manners maketh man}]

今天的分享就到这里如果有不懂的可以评论在下面看到了会重点讲一下




本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/857440.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

.net framework 4.7.2 框架winform项目升级到.net 8.0项目 log4net不起作用的解决办法

问题描述: 在.net framework 4.7.2 框架中的winform项目,引入log4net作为日志组件使用,一切正常,可以正常输出日志。 但项目框架升级到.net 8.0后,log4net的使用就报错,虽然网上有很多关于.net 8.0配置并使用log4net的方法,但有些我尝试没有用,有些代码所在位置看不懂在…

纯js文字洗牌式切换特效插件

ShuffleText是一款纯js文字洗牌式切换特效插件。该插件在鼠标滑过指定的文本时,文字会不停的逐个进行翻转,类似洗牌效果,非常炫酷。在线演示 下载使用方法 在页面中引入shuffle-text.js文件。< script src="path/to/shuffle-text.js"> HTML结构 ShuffleTex…

ABB机器人IO板短路怎么解决

解决ABB机器人IO板短路问题的步骤 - 关闭控制系统电源:首先,关闭ABB机器人的控制系统电源,以确保安全操作。 - 检查线路连接:检查IO板的线路连接是否牢固,有无松动或损坏的迹象。 - 使用万用表测量:使用万用表测量电路的三相是否有短路或接地现象。在测量时,…

聊一聊 C#线程池 的线程动态注入 (上)

一:背景 1. 讲故事 在线程饥饿的场景中,我们首先要了解的就是线程是如何动态注入的?其实现如今的ThreadPool内部的实现逻辑非常复杂,而且随着版本的迭代内部逻辑也在不断的变化,有时候也没必要详细的去了解,只需在稍微宏观的角度去理解一下即可,我准备用三篇来详细的聊一…

IT项目经理力推的2024年10款项目管理工具

在数字化时代,IT项目经理面临着日益复杂的挑战,尤其是在项目管理工具的选择上。为了帮助项目经理在2024年更高效地管理项目,本文将介绍10款备受推崇的管理工具,这些工具不仅功能强大,而且能够适应各种项目管理需求。无论你是初学者还是经验丰富的项目经理,这些工具都能为…

最近公共祖先(LCA)笔记

最近公共祖先(LCA)笔记 【模板】最近公共祖先(LCA) 题目入口 题目描述 如题,给定一棵有根多叉树,请求出指定两个点直接最近的公共祖先。 输入格式 第一行包含三个正整数 \(N,M,S\),分别表示树的结点个数、询问的个数和树根结点的序号。 接下来 \(N-1\) 行每行包含两个正…

Windows 网络安全系统框架环境搭建

网络安全虚拟机框架环境搭建操作系统Vmware Workstation (17.5.2 build-23775571) Windows 11 300G硬盘空间(C、D、E) 8G内存 分三个盘,其中D盘用于安装软件、E盘用于工作Win11 跳过联网激活 shift+F10 或Fn+shift+F10 打开cmd窗口,执行oobe\bypassNRO,系统自动重启后即…

【日记】昨天才找到的头绳,今天就不小心给洗了(947 字)

正文前些周有个周末研究了一天的护发素(虽然现在已经忘光了),今天研究了半天到一天的沐浴露(所以打算写点什么记下来,免得又忘了)。研究完了之后,发现母亲原来给我买的那瓶沐浴露,是把能踩得雷都踩了一遍……甲基氯异噻唑啉酮(CMIT)和甲基异噻唑啉酮(MIT)都有,不过…

【Java编程】定时任务实现原理详解

一、摘要 在很多业务的系统中,我们常常需要定时的执行一些任务,例如定时发短信、定时变更数据、定时发起促销活动等等。 在上篇文章中,我们简单的介绍了定时任务的使用方式,不同的架构对应的解决方案也有所不同,总结起来主要分单机和分布式两大类,本文会重点分析下单机的…

manim边学边做--移动动画

在Manim中,其实直线移动的动画非常简单,每个Mobject对象都有animate属性, 通过obj.animate.shift()或者obj.animate.move_to()很容易将对象从一个位置移往另一个位置。 不过,如果要更复杂的移动路线,那么animate属性的移动方法就无法满足了。 本篇介绍Manim中的两个处理复…

科来网络分析系统:国产网络数据包分析工具推荐

wireshark作为数据分析过程中必备的工具,深受好评。但是其使用起来有一定的门槛,本文介绍的:科来网络分析系统(技术交流版)。在某些方面相比于wireshark更有优势。附数据包分析案例 1、下载安装: 登录官网 https://www.colasoft.com.cn/downloads/capsa2、启动3、选择工作…