wireshark数据流分析-学习日记day1

最新推荐文章于 2024-08-19 20:20:31 发布
最新推荐文章于 2024-08-19 20:20:31 发布
阅读量1.2k 收藏 18
点赞数 30
文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XYpangSJ/article/details/137199519
版权

参考内容:

网址hxxp://194.55.224[.]9/liuz/5/fre.php
描述Loki Bot C2 网址早在 2023-08-15 就被注意到了
2023-07-27 记录的 IcedID C2 域:
  • vrondafarih[.]com - HTTP traffic
  • magiketchinn[.]com - HTTPS traffic
  • magizanqomo[.]com - HTTPS traffic
网址87.121.221[.]212:7888 - tcp://adaisreal.ddns[.]net:7888/
描述Ave Maria RAT (Warzone RAT) 的 C2 早在 2023-06-05 就被注意到了
SHA256 哈希adfa401cdfaac06df0e529bc9d54b74cea9a28d4266a49edafa5b8e04e3b3594
文件大小604,672 字节
文件名未知
文件说明Windows 可执行文件 (EXE),使用 FTP 进行数据泄露的信息窃取程序
网址190.107.177[.]239:21 - fxp://valvulasthermovalve[.]CL/
描述早在 2023-06-07 就注意到,合法站点上的 FTP 服务器用于数据泄露,也被上述恶意软件样本使用
SHA256 哈希f24259e65a935722c36ab36f6e4429a1d0f04c0ac3600e4286cc717acc5b03d7
文件大小134,140 字节
文件名产品详情-3922941.one
文件说明OneNote 文件作为附件在未加密的垃圾邮件机器人电子邮件中 Emotet 于 2023-03-16

Wireshark Tutorial: Display Filter Expressions (paloaltonetworks.com)

过滤器三态:

红色表示语法不合法

黄色表示合法语句但无法执行(3版本)

但是4版本会表绿并搜索http

绿色表示正确语法有结果

 

 布尔表达式

布尔运算符表达替代表达式
等于==

eq

!not
&&and
||or

过滤流量

HTTP 请求:http.request

ssdp:ssdp

简单服务发现协议,此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址

练习1-5

统计一下

可疑文件fre.php

过滤http,https除去ssdp

(http.request or tls.handshake.type eq 1) and !(ssdp)

发现请求指向 URL http://194.55.224[.]9/liuz/five/fre.php

报告即可

练习2-5

作者说是标准变体 IcedID (Bokbot)

一样过滤

http.request or tls.handshake.type eq 1

发现

根据

Fork in the Ice:IcedID 恶意软件分析 |美国证明点 (proofpoint.com)

发现这些域名都是相关域名

报告即可

创建筛选器按钮以简化过滤

过程如图所示

创建过后会在最后生成快捷键使用时点击即可

 

 过滤非 Web 流量

练习3-5

作者说是Ave Maria RAT(也称为 Warzone RAT)的远程访问工具 (RAT) 恶意软件生成的感染后流量

过滤非网络流量

(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0) or dns) and !(ssdp)

找到特征Ave Maria(恶意软件家族) (fraunhofer.de)

报告

 过滤 FTP 流量

练习4-5

筛选表达式描述
ftp控制通道中的 FTP 活动(TCP 端口 21)
ftp-data数据通道中的 FTP 活动(临时 TCP 端口)

 筛选ftp流

ftp.request.command or (ftp-data and tcp.seq eq 1)

发现用户 密码 和 发送html到服务器的STOR命令

追踪tcp流

发现命令过程

报告

 电子邮件流量

练习5-5

作者说:Spambot 恶意软件可以将受感染的主机变成旨在不断发送电子邮件的垃圾邮件机器人。

所以会有大量的smtp文件,过滤一下

smtp or dns

继续过滤 smtp

smtp.req.command

发现10.3.16.101对多个服务器上的ip发送了请求,但是部分加密了

继续过滤非加密请求

smtp.data.fragment

追踪tcp流发现垃圾邮件

 

上报

XYpangSJ
关注
  • 30
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Wireshark-win64-3.6.3
04-14
sniffer \ Wireshark工具软件
Wireshark-win64-3.0.5.zip
10-21
总的来说,"Wireshark-win64-3.0.5.zip"这个压缩包提供了一款强大且易用的网络分析工具,无论你是网络新手还是经验丰富的专业人士,都能从中受益。安装并掌握Wireshark的使用,将极大地提升你的网络管理和安全防护...
wireshark流量分析Unit 42测验,2023 年 2 月
qiu_muya的博客
04-08 299
我们直接将其导出 然后将.dat 后面没有头绪了 看了一下wp 要看文件的sha256哈希值。接下来我们从url中去寻找可疑的报文 查找http的请求 筛选框中选择http.request。惯例搜索 http.request or tls.handshake.type eq 1。Kerberos身份验证流量在用户登录时生成 那我们直接筛选kerberbos。然后查找受害主机信息 筛选框nbns or smb or smb2。刚进入打开pcap包 先做第二个受害者详细信息。到这四个需要的已经找出来了。
Wireshark教程:解密HTTPS流量
程序员阿飘 的博客
03-18 1724
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。
wireshark https_大白鲨Wireshark解密HTTPS流量
weixin_39848007的博客
11-23 609
在审查可疑网络活动时,经常遇到加密流量。大多数网站使用HTTPS协议,各种类型的恶意软件也使用HTTPS,查看恶意软件产生的数据对于了流量内容非常有帮助。本文介绍了如何利用Wireshark从pcap中解密HTTPS流量。可以使用基于文本的日志进行解密方法,日志中包含最初记录pcap时捕获的加密密钥数据。HTTPS Web流量HTTPS流量通常显示一个域名。例如,在Web浏览器中查看ht...
TLS协议分析 (四) handshake协议概览
zhangtaoym的博客
04-10 9246
转自:http://chuansong.me/n/1268791652843 5. handshake 协议 handshake protocol重要而繁琐。 TLS 1.3对握手做了大修改,下面先讲TLS 1.2,讲完再介绍一下分析TLS 1.3. 5.1.handshake的总体流程 handshake protocol用于产生给record protocol使用
SSL Handshake Failure【记一次线上问题处理过程】
热门推荐
浴血重生-学习空间
03-24 3万+
1 现象 客户端抓包:client发送client hello,服务器确认后,没有发送server hello,而是等待超时后,发送FIN包,断开连接。 从客户端抓包来看,客户端怀疑服务端未发送server hello,那就再服务端抓包查看 serverhello 和client hello的数量是否一致。 ssl.handshake.type==2 server hello 的过...
wireshark数据流分析学习日记-day2 识别主机用户专题
XYpangSJ的博客
04-03 960
来自 NetBIOS 名称服务 (NBNS) 流量的主机信息动态主机配置协议 (DHCP) 流量的主机信息网络中生成流量的任何主机都具有三个标识符,那就是:mac地址,ip地址和主机名一般流量可以直接看到mac和ip输入dhcp过滤dhcp流量mac,hostname与ip位置如图所示关于mac地址:默认情况下,Wireshark 尝试将 MAC 地址的前 3 个字节解析为供应商标识。
wireshark数据流分析学习日记day3-从 Pcap 导出对象
XYpangSJ的博客
04-06 562
过滤http请求发现get请求上传了两个文件保存即可也可以保存网页点击保存改文件名为html结尾以便于访问若从以下环境获取流量包若Trickbot使用smb协议从10.6.26.110发送到10.6.26.6我们要获恶意内容注意只有【100%】标识的文件可以下载这里我们找到主机名为10.6.26.6的内容进行下载下载即可如果这些邮件中的任何一个是使用未加密的 SMTP 发送的,我们可以从流量的 pcap 中导出这些邮件。过滤未加密smtp邮件要找邮件就下载imf。
Wireshark-win64-2.9.0网路抓包数据分析工具
01-07
这个名为"Wireshark-win64-2.9.0"的版本是专为64位Windows操作系统设计的,提供了对网络数据包的深度捕获和分析功能。 1. **Wireshark介绍**: Wireshark是开源软件,它的核心功能是对网络流量进行实时捕获和离线...
Wireshark-win64-3.6.3.exe
04-22
综上所述,Wireshark-win64-3.6.3.exe是网络分析的利器,无论是在企业网络管理、软件开发还是网络安全研究中,都发挥着不可替代的作用。通过深入理解和熟练使用这款工具,可以极大地提高网络问题诊断和优化的效率。
Wireshark-win32-3.6.3.exe
04-22
Wireshark-win32-3.6.3.exe适用于Windows x32位系统。Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为...
wireShark tcpdump 抓包 ,检测dns
IT_Octopus的博客
08-19 148
将 生成的 clirent.pcap使用wireshark 分析。过滤目标ip or 域名。
pytest.ini介绍
定格空间
08-16 224
我们知道了ini文件的编写规则 ,但是你知道pytest.ini里的选项是怎么定义的呢?其实在pytest.ini里能添加哪些,都是事先已经定义好了 ,你可以打开cmd窗口执行pytest -h查看。在pytest.ini文件中都是存放的一些配置选项 ,这些选项都可以通过pytest -h查看到。你可能已经看到 ,它的后缀是ini ,这也是标准配置文件的一种 ,而pytest也仅仅是引用了这种配置文件 ,所以 ,既然使用了这种文件,你就得知道它的规则。在分号后面的文字,直到该行结尾都全部为注释。
Spring MVC详解
2301_79288225的博客
08-18 669
Spring Web MVC 是基于 Servlet API 构建的原始 Web 框架,从⼀开始就包含在 Spring 框架中。它的正式名称“Spring Web MVC”来⾃其源模块的名称(Spring-webmvc),但它通常被称为"SpringMVC".MVC是软件架构的设计模式,与单例模式和工厂模式不同⽐如去公司⾯试我们到了公司之后, HR会给我们安排会议室, 根据候选⼈去通知不同的部⻔来安排⾯试, ⾯试结束后, 由HR来告诉⾯试结果在这个过程中。
SpringMVC
2401_83447580的博客
08-15 1026
定义:Spring MVC是Spring Framework的一部分,用于构建基于MVC设计模式的Web应用程序。它利用了Spring框架的依赖注入(DI)和面向切面编程(AOP)等特性,简化了Web应用程序的开发。作用:Spring MVC将Web应用程序划分为模型(Model)、视图(View)和控制器(Controller)三个部分,实现了业务逻辑、数据展示和用户输入处理的分离,提高了应用程序的可维护性和可扩展性。
Spring MVC中获取请求参数的方式
最新发布
好看的皮囊千篇一律,有趣的灵魂万里挑一。
08-19 474
在Spring MVC中获取请求方式参数的主要方式有@RequestParam,@PathVariable,@RequestBody,HttpServletRequest,@RequestHeader等方式,接下来我们分别对其请求获取参数的方式进行相关介绍和使用。
Java面试--框架--Spring MVC
weixin_41624547的博客
08-14 963
Spring MVC是一款由Spring Framework 提供的 web组件,实现mvc设计模式的一款框架,Java web开发者必会框架,前后端不分离。MVC是一种软件架构思想,把软件按照模型,视图,控制器来划分Model:模型层,指工程中的JavaBean,用来处理数据,JavaBean分成两类:一类称为实体类Bean:专门用来存储业务数据(返回和接收数据),比如Student,User一类称为业务处理Bean:指Servlet或Dao对象,专门用来处理业务逻辑和数据访问。
Wireshark分析:Bravo-1数据包中的恶意活动与目录扫描
"Bravo-1.pcapng"文件分析揭示了两个关键点:一是恶意用户使用目录扫描技术尝试访问"uploads"目录;二是攻击者利用SQL注入在"c:/phpstudy/www/m/"目录下写入了一句话木马"shell2.php",主要通过"phpmyadmin"目录的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值