其他
蓝队经验——Wireshark数据包分析浅析
文章来源:安全初心
数据包分析器又名嗅探(Sniffers),是一种网络流量数据分析的手段,常见于网络安全领域使用,也有用于业务分析领域,一般是指使用嗅探器对数据流的数据截获与分组分析(Packet analysis)。红队攻击的套路各式各样(扫描、0day、社工...),蓝队的防守套路相对来说显得比较少,有点重剑无锋的感觉,真正的防守应该就是用最简单的招式达到最大的防守效果。
分析网络问题业务分析分析网络信息流通量网络大数据金融风险控制探测企图入侵网络的攻击探测由内部和外部的用户滥用网络资源探测网络入侵后的影响监测链接互联网宽频流量监测网络使用流量(包括内部用户,外部用户和系统)监测互联网和用户电脑的安全状态渗透与欺骗
以上摘自百度,数据包是作者模拟的,现在已经上传至csdn有兴趣的人可以去下载做一下。
我们本章主要以案例数据包进行分析找出关键数据,现在我们来看以下案例要求。1、某公司网络系统存在异常,猜测可能有黑客对公司的服务器实施了一系列的扫描和攻 击,使用 Wireshark 抓包分析软件查看并分析 PC20201 服务器
C:\Users\Public\Documents路径下的dump.pcapng数据包文件,找到黑客的IP地址, 并将黑客的 IP 地址作为 Flag 值(如:172.16.1.1)提交;2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行 了密码暴力枚举渗透测试,将服务对应的端口依照从小到大的顺序依次排列作为 Flag 值(如:77/88/99/166/1888)提交;
3.继续分析数据包文件 dump.pcapng,找出黑客已经获取到目标服务器的基本信息,请 将黑客获取到的目标服务器主机名作为 Flag 值提交;
我们进行过滤nbns数据包后进行追踪udp数据流可以得到主机名为metasploit,WINS服务器解析(NBNS数据包),WINS服务器用于登记记录计算机NetBIOS名称和IP地址的对应关系,供局域网计算机查询。可能使用工具nbtscan进行扫描的。
4.黑客扫描后可能直接对目标服务器的某个服务实施了攻击,继续查看数据包文件 dump.pcapng 分析出黑客成功破解了哪个服务的密码,并将该服务的版本号作为 Flag 值(如:5.1.10)提交;
5、继续分析数据包文件 dump.pcapng,黑客通过数据库写入了木马,将写入的木马名称作 为 Flag 值提交(名称不包含后缀);
test.php.黑客执行命令为:
select ‘’ into outfile ‘/var/www/html/test.php’6、继续分析数据包文件 dump.pcapng,黑客通过数据库写入了木马,将黑客写入的一句话 木马的连接密码作为 Flag 值提交;我们在上一步中已经得到黑客执行的命令,所以可以得到一句话木马的连接密码为cmd7、继续分析数据包文件 dump.pcapng,找出黑客连接一句话木马后查看了什么文件,将 黑客查看的文件名称作为 Flag 值提交;
这里对ftp-data进行讲解,ftp-data主要是用户传输数据的对应的端口为20,所以20端口也称为FTP服务的数据端口。
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读