查看原文
其他

流量分析系列|流量数据包抓取

哆啦安全 2022-07-23

The following article is from 取证知道 Author 小知

前言:最近小知收到不少读者的私信,说希望像日志分析或者PHP解析这样,做一些专题的分享,宠粉的小知肯定答应啦,所以接下来几期将会对流量分析做专题分享,今天讲的是流量分析中最简单的数据包的抓取。

“工欲善其事,必先利其器”。要想做流量分析,首先最基础的就是要有分析的内容,那平常我们分析的数据包都是怎么来的呢?应该有不少的读者都了解,通过抓包工具进行流量包的抓取,今天我们给大家介绍几个抓包工具,分别是最老牌的Wireshark、Android 手机系统下的Fiddler。


首先来看Wireshark软件,在取证这个行业的大家应该都比较熟悉,我们只做简单的介绍。

Wireshark是网络数据包分析工具,前身叫做Ethereal,它就是用于一个网络封包分析软件,也就是我们日常生活中俗称的抓包工具,而它最大的特点就是能够尽可能多的显示出详细的网络封包资料,WireShark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

WireShark界面:

WireShark的安装过程相对来说比较简单,官方下载完成之后,直接下一步下一步安装即可。安装完成可以看到以下界面,包含菜单栏、常用功能菜单、网卡信息

点击相应的网卡,即可进入抓包界面,在菜单栏或者常用功能菜单即可实现抓包、分析等工作。

WireShark常用功能:

WireShark这个软件功能比较多 ,我们今天只给大家介绍几个常用的菜单栏,大家可以自己去体验下,具体功能我们在后续的流量分析分享中陆续介绍。


菜单栏-统计:将数据包按不同类型进行统计归类,使数据流信息更加直观,常用的统计类型有按对话统计和按端点统计,可以显示显示端点IP、流经数据包数量和字节大小等信息,可以最直观的定位到活跃的通信端点,常用于排查恶意请求;直观显示活跃端点,并根据会话分析数据流向。另外可以根据协议分级、解析IP地址等等。

过滤器: 使用Wireshark的都知道,一旦我们抓取数据包之后,里面包含的信息量太大,怎么从这些海量数据里,找到我们需要的信息是至关重要的一环,这时候就要使用过滤器了,给大家介绍下几个常用的场景下的过滤方法:

邮件:过滤SMTP、IMAP、POP等协议

攻击、入侵中出现上传、中木马字段:过滤http协议中的POST记录

盗取资料、资料传输等字眼:过滤FTP、SFTP等协议

关于Wireshark的用法和具体分析后续再给大家慢慢介绍。

接下来给大家介绍在Android 手机上的抓包工具,Fiddler。在APK分析工作中,可以利用抓包来看手机APP访问的域名和IP。

1、在电脑端安装好Fiddler.exe程序并打开。

2、打开Fiddler软件,点击工具栏中的工具—>选项(Tools—>Options),在HTTPS界面勾选“捕获HTTPS连接”和“忽略服务器证书错误(不安全)”选项。

3、在HTTPS点击动作(Actions)选项,选择“将根证书导出到桌面(Export Root Certificate to Desktop)”选项,此时桌面上会有证书FiddlerRoot.cer文件,点击“确定”设置成功,关闭fiddler。

4、在选项卡界面点击“连接”,配置好Fiddler监听端口。

5、安装好雷电模拟器并打开,找到系统应用,点击设置,点击网络WLAN,鼠标左键长按点击已连接的网络,直到出现“修改网络”的选项。

6、点击“修改网络”,选择高级选项,设置好代理。这里要注意端口要跟第4步操作中的端口号保持一致。

7、将步骤3里面导出的证书文件导入到模拟器中。

8、在模拟器中依次点击设置—>安全—>从SD卡安装,选中刚才导入的证书文件并对其进行命名。

9、重启模拟器,在模拟器中运行目标APP即可抓取网络流量包。这边以酷我音乐为例,在模拟器中打开酷我音乐APP,在fiddler软件中即可抓取到该软件对应的网络流量包,可以看到访问的域名等信息。

今天这段相信大家看下来会觉得整体还是比较简单的,但是流量分析其实对取证人员的整体综合知识要求比较高,往往需要比较扎实的基础知识,才能从各个方面进行印证,所以小知希望大家有空都可以熟悉下这两个软件,特别是Wireshark,后续的几个内容包括:

流量分析-还原攻击过程

流量分析-还原邮件内容

流量分析-提取webshell

流量分析-还原入侵盗取资料过程

都会利用WireShark软件进行分析,如果大家有什么好的建议,也可以私信小知。


喜欢小知的话请不要忘了关注,点赞,转发!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存