wireshark网络安全流量分析基础

这篇具有很好参考价值的文章主要介绍了wireshark网络安全流量分析基础。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

01.介绍

网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。

02.基本使用

 Wireshark对pcap包分析过程中常用的功能基本上包括:数据包筛选、数据包搜索、流还原、流量提取等。本次的演示找到了CTF相关pcap包,如感兴趣可自己下载分析:

链接:https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA  提取码:k0y4 

2.1 数据包筛选

海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。

2.1.1 筛选IP

※流量过滤中可以使用过滤可疑IP或排除一些无用信息,减少无关流量包的干扰,更直接定位目标。

>筛选特定IP,过滤出所有与192.168.94.233相关的流量

语法:ip.addr==192.168.94.233

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

>筛选源IP,过滤出所有源ip都为192.168.94.233

语法:ip.src==192.168.94.233

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

同样过滤目的IP语法:ip.dst==192.168.94.233

且关系使用&&:ip.dst==192.168.94.233&& ip.dst==192.168.32.189

或关系使用||:ip.dst==192.168.94.233||ip.dst==192.168.32.189

非关系:!=

2.1.2HTTP模式过滤

※在web攻击流量分析中,http显得尤为重要,根据攻击特点过滤http流量能更准确定位攻击;如常见上传webshell使用POST请求、指定URI可疑发现一些上传路径或者后台等,另也可以从包含的一些关键特征判断使用的工具、木马、脚本等。

http请求方式为GET语法:http.request.method==”GET”

http请求方式为POST语法:http.request.method==”POST”

请求的URI为/login.php语法:http.request.uri==”/login.php”

请求的http中包含sqlmap的语法:http contains “sqlmap”

请求方式为GET且请求中包含UA信息:http.request.method==”GET” && http contain “User-Agent”

 2.1.3 mac地址筛选:

※这部分过滤和IP过滤作用一样

 eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

 eth.addr==A0:00:00:04:C5:84 筛选MAC地址

 2.1.4  端口筛选:

※通过常见端口如445、1433、3306等可以定位相关特殊的服务。

tcp.dstport == 80  筛选tcp协议的目标端口为80 的流量包

tcp.srcport == 80  筛选tcp协议的源端口为80 的流量包

udp.srcport == 80  筛选udp协议的源端口为80 的流量包

2.1.5  协议筛选:

协议过滤可以根据相关服务使用的协议类型进行

tcp  筛选协议为tcp的流量包

udp 筛选协议为udp的流量包

arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

 2.1.6  包长度筛选:

包长度、大小可以利用判断一些木马特征,扫描特征、ddos等

udp.length ==20   筛选长度为20的udp流量包

tcp.len >=20  筛选长度大于20的tcp流量包

ip.len ==20  筛选长度为20的IP流量包

frame.len ==20 筛选长度为20的整个流量包

2.2 数据流分析

使用wireshark进行威胁流量发现时候,除了判断包特征,访问日志,证书等,数据量是较为直观发现异常行为的方式,我们常会查看一些HTTP流、TCP流和UDP流进行流量分析,wireshark中常用方法:

这里我就用找一个后台登入的http流做展示

1)找疑似后台登入点:http contains login

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

2)判断登入是否成功,这时可以查看http流的响应情况进行分析:”右键-追踪流-HTTP流”

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

 

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

可以根据数据流的请求头、请求体判断源IP的一些信息,这个有助于进行追踪;响应头、响应体可以作为本次请求是否成功,达到的响应效果的判断。

HTTP流之外还会有TCP流、UDP流、HTTPS流等,操作的方法是一样的;

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

2.3文件还原

※攻击流量中少不了恶意脚本,样本文件,这时能对样本提取是对威胁攻击的进一步分析十分重要。而使用wireshark就可以做到简单文件还原,当然如果你需要对批量文件还原,可能还需要一些自己研究的工具进行还原,下面说一下wireshark怎么进行还原:

1)“文件-导出对象”这样可以选择导出的协议类型数据,选择http后会出现数据包所有的关于http协议的数据包;在所有http数据流中的文件,选中进行save进行;其他协议相关文件也一样。

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

 

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

2)分组字节流还原

对于特定的字节流可以“右键-导出分组字节流”最后保存就ok了

 

wireshark分析网络流量,wireshark,web安全,网络,网络安全,计算机网络

总结:wireshark比较适合对于小流量包威胁数据进行分析,CTF赛事也会常用wireshark进行分析;作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。文章来源地址https://www.toymoban.com/news/detail-655237.html

到了这里,关于wireshark网络安全流量分析基础的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Kali Linux --《网络安全》-- 使用 WireShark 对常用协议抓包并分析原理

    作为一款高效免费的抓包工具,wireshark可以捕获并描述网络数据包,其最大的优势就是免费、开源以及多平台支持,在GNU通用公共许可证的保障范围下,用户可以免费获取软件和代码,并拥有对其源码修改和定制的权利,如今其已是全球最广泛的网络数据包分析软件之一。接

    2023年04月08日
    浏览(47)
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

    SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。 被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142 原因:避免wireshark奇怪报错  2.2.1在终端执行 file命令查看文件类型 2.2.2计算该文件

    2024年02月04日
    浏览(51)
  • 【网络工程】网络流量分析工具 Wireshark

    Wireshark (前身 Ethereal):它是一个强大的网络封包分析软件工具 ! 此工具使用WinPCAP作为接口,直接与网卡进行数据报文交换。主要用来捕获截取网络数据包的,并自动解析数据包为用户显示数据包详细信息,供用户对数据包进行分析。 下载及安装: 点击这里 1.打开网址,进入

    2024年02月13日
    浏览(39)
  • 如何使用Wireshark进行网络流量分析?

    如何使用Wireshark进行网络流量分析。Wireshark是一款强大的网络协议分析工具,可以帮助我们深入了解网络通信和数据流动。 1. 什么是Wireshark? Wireshark是一个开源的网络协议分析工具,它可以捕获并分析网络数据包,帮助用户深入了解网络通信过程,识别潜在的问题和安全威

    2024年02月11日
    浏览(39)
  • 【web网络安全基础阶段一】

    在学习web网络安全,需要了解web安全前端基础,我将会从HTML,CSS,JavaScript前端技术,以及HTTP协议运作原理进行阐述。 前端技术作用 前端开发是创建Web页面或App等前端界面呈现给用户的过程。 • HTML,CSS及JavaScript • 网页制作是Web1.0时代的产物,早期网站主要内容都是静态

    2024年04月25日
    浏览(38)
  • 网络安全CTF之Web基础

    Web类的考试,在CTF比赛中十分常见。 本人从计算机专业转网络安全发展,属于半路出家,一知半解,如有总结不到位的地方,欢迎交流分享。 攻防世界Web Web基础中,常见的考点如下: 1、源代码隐藏 打开网页,显示 FLAG is not here。 F12查看源代码,取得flag 2、GET和POST传参 G

    2024年02月07日
    浏览(45)
  • 零基础自学网络安全/web安全,看这一篇就够了

    作为一个安全从业人员,我自知web安全的概念太过于宽泛,我本人了解的也并不够精深,还需要继续学习。 但看到这个问题之后又想说说自己的看法,所以今天随手写写关于web安全的内容,希望对初次遇到web安全问题的同学提供帮助! 我先把自己整理的web安全自学路线贴出

    2024年02月06日
    浏览(78)
  • 零基础如何学习 Web 安全,如何让普通人快速入门网络安全?

    前言 网络安全现在是朝阳行业,缺口是很大。不过网络安全行业就是需要技术很多的人达不到企业要求才导致人才缺口大 【一一帮助安全学习(网络安全面试题+学习路线+视频教程+工具)一一】 初级的现在有很多的运维人员转网络安全,初级也会慢慢的卷起来,但是岗位多

    2024年02月12日
    浏览(63)
  • 零基础如何学习Web 安全,如何让普通人快速入门网络安全?、

    网络安全现在是朝阳行业,缺口是很大。不过网络安全行业就是需要技术很多的人达不到企业要求才导致人才缺口大 初级的现在有很多的运维人员转网络安全,初级也会慢慢的卷起来,但是岗位多不用怕,以后各大厂也都会要网络安全人员,后续法律也会改革,网络安全只会

    2024年04月22日
    浏览(56)
  • (2023版)零基础入门网络安全/Web安全,收藏这一篇就够了

    由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我: 我刚入门网络安全,该怎么学? 要学哪些东西? 有哪些方向? 怎么选? 这一行职业前景如何? 废话不多说,先上一张图镇楼,看看网络安全有

    2024年02月07日
    浏览(72)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包