流量分析系列|流量数据包抓取
The following article is from 取证知道 Author 小知
前言:最近小知收到不少读者的私信,说希望像日志分析或者PHP解析这样,做一些专题的分享,宠粉的小知肯定答应啦,所以接下来几期将会对流量分析做专题分享,今天讲的是流量分析中最简单的数据包的抓取。
“工欲善其事,必先利其器”。要想做流量分析,首先最基础的就是要有分析的内容,那平常我们分析的数据包都是怎么来的呢?应该有不少的读者都了解,通过抓包工具进行流量包的抓取,今天我们给大家介绍几个抓包工具,分别是最老牌的Wireshark、Android 手机系统下的Fiddler。
首先来看Wireshark软件,在取证这个行业的大家应该都比较熟悉,我们只做简单的介绍。
Wireshark是网络数据包分析工具,前身叫做Ethereal,它就是用于一个网络封包分析软件,也就是我们日常生活中俗称的抓包工具,而它最大的特点就是能够尽可能多的显示出详细的网络封包资料,WireShark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
WireShark界面:
WireShark的安装过程相对来说比较简单,官方下载完成之后,直接下一步下一步安装即可。安装完成可以看到以下界面,包含菜单栏、常用功能菜单、网卡信息
WireShark常用功能:
WireShark这个软件功能比较多 ,我们今天只给大家介绍几个常用的菜单栏,大家可以自己去体验下,具体功能我们在后续的流量分析分享中陆续介绍。
菜单栏-统计:将数据包按不同类型进行统计归类,使数据流信息更加直观,常用的统计类型有按对话统计和按端点统计,可以显示显示端点IP、流经数据包数量和字节大小等信息,可以最直观的定位到活跃的通信端点,常用于排查恶意请求;直观显示活跃端点,并根据会话分析数据流向。另外可以根据协议分级、解析IP地址等等。
过滤器: 使用Wireshark的都知道,一旦我们抓取数据包之后,里面包含的信息量太大,怎么从这些海量数据里,找到我们需要的信息是至关重要的一环,这时候就要使用过滤器了,给大家介绍下几个常用的场景下的过滤方法:
邮件:过滤SMTP、IMAP、POP等协议
攻击、入侵中出现上传、中木马字段:过滤http协议中的POST记录
盗取资料、资料传输等字眼:过滤FTP、SFTP等协议
关于Wireshark的用法和具体分析后续再给大家慢慢介绍。
接下来给大家介绍在Android 手机上的抓包工具,Fiddler。在APK分析工作中,可以利用抓包来看手机APP访问的域名和IP。
1、在电脑端安装好Fiddler.exe程序并打开。
2、打开Fiddler软件,点击工具栏中的工具—>选项(Tools—>Options),在HTTPS界面勾选“捕获HTTPS连接”和“忽略服务器证书错误(不安全)”选项。
3、在HTTPS点击动作(Actions)选项,选择“将根证书导出到桌面(Export Root Certificate to Desktop)”选项,此时桌面上会有证书FiddlerRoot.cer文件,点击“确定”设置成功,关闭fiddler。
4、在选项卡界面点击“连接”,配置好Fiddler监听端口。
5、安装好雷电模拟器并打开,找到系统应用,点击设置,点击网络WLAN,鼠标左键长按点击已连接的网络,直到出现“修改网络”的选项。
6、点击“修改网络”,选择高级选项,设置好代理。这里要注意端口要跟第4步操作中的端口号保持一致。
7、将步骤3里面导出的证书文件导入到模拟器中。
8、在模拟器中依次点击设置—>安全—>从SD卡安装,选中刚才导入的证书文件并对其进行命名。
9、重启模拟器,在模拟器中运行目标APP即可抓取网络流量包。这边以酷我音乐为例,在模拟器中打开酷我音乐APP,在fiddler软件中即可抓取到该软件对应的网络流量包,可以看到访问的域名等信息。
今天这段相信大家看下来会觉得整体还是比较简单的,但是流量分析其实对取证人员的整体综合知识要求比较高,往往需要比较扎实的基础知识,才能从各个方面进行印证,所以小知希望大家有空都可以熟悉下这两个软件,特别是Wireshark,后续的几个内容包括:
流量分析-还原攻击过程
流量分析-还原邮件内容
流量分析-提取webshell
流量分析-还原入侵盗取资料过程
都会利用WireShark软件进行分析,如果大家有什么好的建议,也可以私信小知。
喜欢小知的话请不要忘了关注,点赞,转发!