合天恶意流量分析二

最新推荐文章于 2021-07-13 16:16:05 发布
最新推荐文章于 2021-07-13 16:16:05 发布
阅读量448 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrapeSour/article/details/118573517
版权

实验目的:回答以下的问题

除了位于 172.16.3.2 的域控制器之外,网络上还有多少台主机处于活动状态?
列出在调查上一个问题时找到的主机的 IP 地址。
哪个 IP 地址代表运行 Ubuntu 的主机?
什么类型的主机使用 IP 地址 172.6.3.188?
哪个 IP 地址最有可能是 Amazon Fire 平板电脑?
哪三个 IP 地址代表连接到 172.16.3.2 的域控制器的 Windows 主机?
三个 Windows 主机中的哪一个显示出感染 Emotet 和 IcedID 银行木马 (Bokbot) 的迹象?
哪个 IP 地址是运行 Android 8.0.0 的主机?
运行 Android 8.0.0 的手机的品牌和型号是什么?
172.16.3.112 上的设备品牌和类型是什么?

Q1:域中存在多少个主机

统计->conversations->ipv4->排序
在这里插入图片描述
根据域的ip为172.16.3.0/24罗列可得
172.16.3.189

172.16.3.188

172.16.3.133

172.16.3.122

172.16.3.114

172.16.3.112

172.16.3.111

172.16.3.110

172.16.3.109

172.16.3.2

Q2:哪个主机的操作系统是Ubuntu

知识点

访问网页时,用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。

所以筛选http的请求包,然后再过滤出Ubuntu关键字,所以payload为

http.request and ip contains Ubuntu
在这里插入图片描述

然后追踪tcp流
在这里插入图片描述
所以为172.16.3.110

Q3:ip地址为172.16.3.188的是什么类型的主机

首先过滤出它的ip地址

ip.addr eq 172.16.3.188

在这里插入图片描述
发现发起的dns请求是查询iCloud,这是一个苹果的域名
然后判断他是iPhone还是mac还是iPad
所以查看的它的user agent,在原本之后加上

and http.request

再追踪tcp流

在这里插入图片描述

所以这是一台iPhone 8

Q4:哪个ip地址最有可能是Amazon Fire tablet

这是一款亚马逊的平板
可以考虑找亚马逊的域名

dns.qry.name contains amazon

在这里插入图片描述
发现对应有三个ip:
172.16.3.122
172.16.3.111
172.16.3.109

我们知道亚马逊的网上采用了https
知识点

https是在hhtp的基础上加了一个ssl的握手

所以我们可以尝试过滤出ssl的握手包,查看握手包中有amazon的

ssl.handshake.type == 1 and ip contains amazon

所以只剩下两个了122和109在这里插入图片描述
需要进一步过滤
所以查看Mac地址

MAC地址:也叫硬件地址,它是一个用来确认网络设备位置的位址

先看172.16.3.122的,可以看到这是苹果的设备
在这里插入图片描述

再看172.16.3.109的在这里插入图片描述
所以这个是亚马逊的设备,所以答案就是172.16.3.109

第二种方法
我们知道ua也会有浏览器的特征,比如在firefox,Chrome等,Windows上是ie的特征,mac上市Safari的 通过搜索我们得知其特有浏览器是silk

ssl.handshake.type == 1 and ip contains silk

在这里插入图片描述

直接得到答案

Q5:哪些windows主机曾经连接到域控上?

先来理清楚概念:域建立后会有一个管理域成员的目录列表,称之为活动目录Active Directory(AD),而AD默认使用Kerberos处理认证请求。

所以我们考虑使用kerberos关键字进行过滤

kerberos.CNameString

从CNameString就可以看出是哪台windows连入了。

在这里插入图片描述

将这一行应用为列,就可以更加清楚的显示了。
所以连接到windows上的域控主机有:

172.16.3.144
172.16.3.133
172.16.3.189

Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?(172.16.3.114,172.16.3.133,172.16.3.189)

首先我们调出host列和server name列,有一张参考流量图,我们将上面的列调整的尽量相似
在这里插入图片描述
在这里插入图片描述
然后使用该命令进行过滤

(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900) and ip.addr eq ip

172.16.3.114如下
在这里插入图片描述

原图是get再443的hello,而114是先get,再hello,再大批量的get,所以是不一样的

再看172.16.3.133
在这里插入图片描述
133是get/ hello/get/hello,跟木马迹象十分相似

189如下
在这里插入图片描述
完全不一样

综上所以为172.16.3.133

Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?

同样查询user agent

http.request and ip contains “8.0.0”

追踪tcp流
在这里插入图片描述
在这里插入图片描述
安卓手机 型号是moto e5 play 地址为172.16.3.111

梦梦梦梦梦梦梦梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
raw socket 大合集
01-02
通过捕获并分析网络流量,可以监控网络活动,用于安全审计和故障排查。 ### 6. 安全与限制 由于raw sockets的权限较高,一般仅限于root用户使用,以防止恶意攻击。在使用raw sockets时,必须谨慎处理,避免滥用...
最实用的几个小工具合集
09-22
最后,"b冰刃(icesword) V1.22.rar"是一个强大的系统底层分析工具。IceSword,又名冰刃,可以用来检测和处理系统中的隐藏进程、服务、注册表项等,对于排查系统问题、揪出恶意软件有着显著的效果。虽然它的使用需要...
恶意流量分析训练
Yale的博客
02-04 1978
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup.com 域控:172.16.3.2-EggNogSoup-DC 网关:172.16.3.1 广播地址:172.16....
合天恶意流量分析
GrapeSour的博客
07-08 279
合天恶意流量分析一 首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志 第一条 收到whatismyaddress.com的请求 这是一个正常流量,是查看我们的出网端口的ip地址 第三条 是一个FTP stor的命令 这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上 第四条 是一个Hawkeye Keylogger的一个木马 用键盘记录器发送数据 所以通过以上分析,可以使用ftp过滤协议
Wireshark过滤规则之:http数据包
热门推荐
chenzhisi的专栏
11-13 6万+
Wireshark过滤语句中常用的操作符 关键字有: eq,== 等于 ne,!= 不等于 gt,> 比…大 lt,= 大于等于 le, 另外还有contains和matches两个不常用的关键字,过滤效果不错。 “contains”过滤包含指定字符串的数据包。例如: http.request.uri contains “/dll/test.htm?”
合天恶意流量分析
GrapeSour的博客
07-13 596
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
全流量日志AI智能分析系统.pdf
09-05
全流量日志AI智能分析系统是一种专为解决中小型企业网络安全态势感知难题而设计的创新解决方案。长扬科技推出的这款一体机结合了全流量日志分析和人工智能技术,旨在弥补大型企业在边缘分析设备上的不足,特别是在...
【推荐】最新金融安全解决方案和实践合集.zip
07-26
加密流量恶意软件分析在金融场景的实践; 建设新一代金融业智慧安全态势感知平台; 建设银行网络安全防护体系演进及威胁情报探索应用; 金融安全与区块链分论坛.金融分布式账本安全规范; 金融安全与区块链分论坛....
安恒战略发布资料合集.zip
05-28
态势感知是网络安全领域的重要组成部分,它通过收集和分析网络中的各种信息,包括日志、流量数据、威胁情报等,来实时监控网络状态,预测潜在威胁,并做出及时响应。安恒公司在这一领域的产品可能包括先进的威胁检测...
2024年欧洲加氢脱硫催化剂市场主要企业市场占有率及排名.docx
07-04
2024年欧洲加氢脱硫催化剂市场主要企业市场占有率及排名
2024年欧洲加工食品市场主要企业市场占有率及排名.docx
07-04
2024年欧洲加工食品市场主要企业市场占有率及排名
电梯控制系统:LME66_控制器说明一部分改06.6.10.doc
07-04
电梯控制系统:LME66_控制器说明一部分改06.6.10.doc
23省赛T1.cpp
最新发布
07-04
23年省赛题解
1-3.PPT
07-04
1-3.PPT
工程力学-A卷答案.pdf
07-04
工程力学-A卷答案
08概率统计期末试题卷A评析.pdf
07-04
08概率统计期末试题卷A评析
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值