关于基础的流量分析(1)

于 2024-05-23 22:41:04 发布
阅读量1.1k 收藏 15
点赞数 16
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z11762/article/details/139157429
版权

1.对于流量分析基本认识

1)简介:网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题


2)在我们平时的考核和CTF比赛中,基本每次都有流量分析这类题,对于流量包的分析取证也是一种十分重要的题型。通常这类题目正常 都是会提供一个包含流量数据的pcap文件,要我们从里面通过该文件筛选和过滤其中无关的流量信息,再根据关键流量信息找出flag或者相关线索。

对于我个人来说,前面作做这一类题只能简单的靠眼睛再加一点简单的过滤手法,最终找到flag也是相当的困难,还有很多关于whireshark使用方法没有学会,再者还有比较熟练的直接用脚本跑,所以 我打算再找找它其他的一些用法。


3)pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发使用者的不断完善,现在已经成为使用最为广泛的安全工具之一。当然也是我做这类题最常用的工具之一了。

2.wireshark的基本使用

1)主界面简介

打开wireshark后,第一次进需要选择Capture,然后是interface,再下拉主菜单会出现两个对话框,里面会列出捕获数据需要使用的各种设备以及ip地址,选择需要使用的设备,点击start,之后就会把数据捕获并显示再框内,到后面就可以直接用whireshark工具打开pcap文件,它就会自动捕获流量包了

就像下面这样

一般选择本地出网的网卡,就能捕获本地的数据包了,如下:

2)快捷键和过滤手法

在我们分析数据时,会用到一些常用快捷键:

ctrl+m            标记数据包

ctrl+shift+N    跳到标记处

还有一些基于协议的过滤手法

补充点稍微详细点的

      一般情况在使用Wireshark分析capture.pcapng数据包文件时,这些数据中都会有非常多的ICMP报文,这报文中有大量的非正常ICMP报文,找出类型为重定向的所有报文,就会让我们将“报文重定向的数量”作FIag 值提交。       flag格式:flag{重定向数量}

过滤手法:icmp.typeeq5

知识点

       每一个包都是通过数据链路层DLC 协议,IP协议和ICMP 协议共三层协议的封装。

       DLC 协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请求正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈

报文类型可归纳如下:

诊断报文(类型:8,代码0;类型:0代码:0);

目的不可达报文(类型:3,代码0—15);

重定向报文(类型:5,代码:0—4);超时报文(类型:11,代码:0—1);

信息报文(类型:12—18)。

然后是一些基于协议衍生出来的过滤手法,这里举一些http协议的

识别数据包数量
Wireshark自带功能会统计当前数据包的数量,过滤后根据过滤语句过滤后的数据包,统计数据包数
过滤语法;http:response.code==404

追踪流手法
追踪流手法是在我们平时考核比赛中,进行流量分析非常好用方法,它可以具体显示一个数据包的内容以及传输数据,简单的使用如下

比如下面这里追踪 MYSQL的传输流量,我们可以更清楚的看到 Hacker在攻击 MYSQL数据库时的路径

3)常用筛选命令方法

根据IP地址进行筛选

命令汇总
addr=192.168.1.122∥/根据IP地址筛选,包括源ip或者目的IP

p.src==192.168.1.122∥根据源IP地址筛选

dst==192.168.1.122∥/根据目的IP地址筛选


a.根据IP地址进行筛选

使用命令:ip.addr=10.255.0

命令大意:筛选出IP地址是10.255.0.1的数据包,包括源IP地址或者目的IP地址使用的是10.255.0.1的全部数据包。

b.根据源IP地址筛选
使用命令:ip.src==10.255.0.1

命令大意:筛选出源lP地址是10.255.0.1的数据包

c.根据目的P地址筛选
使用命令:ip.dst==10.255.0.1

命令解说:筛选出目的地址是10.255.0.1的数据包。
 

根据MAC地址进行筛选

命令汇总

eth addr==20. dc e6. f3: 78:: cc

eth. src==20: dc.e6. f3: 78: cc

eth. dst==20; dc. e6: f3: 78. cc

1.根据MAC地址进行筛选
使用命令: eth addr==20:dc:e6:f3:78:cc
命令解说:筛选出MAC地址是20:dc:e6:f3:78:CC的数据包,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部数据包。

2根据源MAC地址筛选
使用命令:eth.src=20:dc:e6:f3:78:cc

命令解说:筛选出源MAC地址是20:dc:e6:f3:78:CC的数据包

3根据目的MAC地址筛选
使用命令: eth. dst==20:dc:e6:f3:78:cc

命令解说:筛选出目的MAC地址是20:dc:e6:f3:78:cC的数据包

题目实操

1.用whireshark打开题目附件,一个pcnpng文件

这里用http过滤一下,找到一个zip文件,有点与众不同

把它导出去再做观察

导出后解压,是六个txt文件,打开后全是md5值,猜测它应该并在一起是个什么东西,

这里解码一个文件发现它是一个二维码的一部分

那就把它合在一起,再次解码

解码得到flag值

flag{3819169573b7a37786d2ea39c6daef76}

2.

mzxf
关注
  • 16
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
流量分析基础知识学习
hezhing
12-26 2930
流量分析基础知识学习 wireshark基础语法 常见套路 查看关键字 http contains "flag" //直接出 追踪流 右键-》追踪流-》TCP 分组字节流 文件-》导出选择分组字节流 查看隐藏 binwalk查看 然后再用搜索 然后导出分组字节流 做题方法 flag明文 直接搜索flag,flag{ flag编码 flag经过16进制编码,或者其他编码 flag-->666C6167 unicode转ascii f-->f 直接上脚
流量分析基础
weixin_30333885的博客
11-09 1万+
流量分析 1.流量分析是什么?   网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 2.数据包分析 总体把握 – 协议分级 – 端点统计 过滤赛选 – 过滤...
CTF 流量包相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 1924
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
网安学习日志(5)流量分析基础
qq_41819426的博客
01-10 4162
题干: 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:username/p
流量数据分析的方法学习
Jon_Sheng的博客
05-21 5278
1、看数字和趋势(以电商网站为例)2、维度分解3、用户分群(又叫用户画像)4、转化漏斗5、行为轨迹关注行为轨迹,是为了真实了解用户行为。通过大数据手段,还原用户的行为轨迹,有助于增长团队关注用户的实际体验、发现具体问题,根据用户使用习惯设计产品、投放内容。6、留存分析在人口红利逐渐消褪的时代,留住一个老用户的成本要远远低于获取一个新用户。我们可以通过数据分析理解留存情况,也可以通过分析用户行为或行...
流量分析入门
qq_35897989的博客
03-27 330
流量分析 流量分析是CTF里面的常见题目,通常会给我们一堆数据包,然后让我们用Wireshark分析流量包里面的内容排除无关信息然后获取隐藏的flag 链接:https://pan.baidu.com/s/1I-YQhV2VVGE1DZXb_WlnSA?pwd=c93i 提取码:c93i 工具: https://www.wireshark.org/download.html Wires...
投资项目的现金流量分析PPT课件
05-10
总结来说,现金流量分析是投资决策不可或缺的工具,它以实际发生的现金流入和流出为基础,考虑了资金的时间价值,为投资者提供了关于项目经济效益的真实见解。通过遵循实际现金流量和相关/不相关原则,可以更准确地...
net.zip_流量统计分析
09-19
1. **数据采集**:这通常通过在网络设备(如路由器、交换机或服务器)上设置探针来实现,或者使用专门的网络流量分析工具,如Wireshark、 tcpdump 等抓包工具,它们可以捕获网络中的每一个数据包。 2. **数据过滤与...
IP包流量分析WINPCAP实现
05-27
标题中的“IP包流量分析WINPCAP实现”指的是利用WINPCAP库进行网络数据包捕获和流量分析的技术。WINPCAP(Windows Packet Capture)是一个开源的、系统级的网络数据包过滤和分析库,主要在Windows操作系统上使用。它...
通过流量分析定位网络故障
08-17
通过实验sniffer抓包,分析相关协议,定位网络故障
流量分析工具Wireshark32.zip
05-28
流量分析工具Wireshark32.zip
IP流量包分析.zip
11-11
IP流量包进行分析,JAVA代码有简单的GUI界面和详细的操作说明,运行结果有源地址、目的地址、数据包数量和协议类型。
Tableau+数据可视化+网站流量分析
06-19
网站流量分析.csv文件很可能包含了关于访问者数量、页面浏览量、停留时间、来源等关键指标。在Tableau中,我们可以直接导入CSV文件,然后开始我们的数据分析之旅。 **3. 数据可视化基础** 在Tableau中,数据字段...
应急响应-流量分析
qq_50765147的博客
01-28 725
在应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。
常规web流量分析总结及例题(普通http流量,http传输文件流量,https加密流量,视频流)
最新发布
yy1715713348的博客
03-05 1130
流量分析流量分析在HVV中的作用 在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分 析的方法详细的流量如下Sql 报错Wireshark介绍 Wireshark(前称Ethereal)是一个网络封包分析软件。1 网站流量的趋势能够预知网站的发展前景流量高的网站说明受用户的欢迎。而且,网站流量的变化直接反应网站发展的趋势,是前进,还是快速前进,还是下降,还是快速下降,或者处于平稳期。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值