数据包分析概述
抓包:
抓的是数据帧
作用:
反应网络通讯的知识内容,溯源
网络故障分析
程序网络接口分析
木马通讯数据内容
工具:
浏览器、wireshark、fiddler、Charles、BP
抓包工具介绍以及网络通讯原理
数据流包对应osi中的信息
frame:物理侧的数据帧概况
Ethernet II:数据链路层以太网头部帧
TCP:传输层的数据段头部信息
Http:应用层信息
osi各层:不再赘述
流量封装
HTTP协议
基于TCP,默认80端口,基于请求(require)与响应(response)
请求种类:
GET:请求读取指定信息
POST:向服务器发送数据,更敏感,要重点分析
响应状态码:
2XX请求正常,3XX重定向,4XX客户端服务,5XX服务器错误
wireshark概述
页面介绍
分析:
各层 一一对应
TCP三次握手连接
能认出三次握手的流量包就行,分析的时候要舍弃不用分析
TCP四次挥手断开
wireshark使用
抓包:
抓包首先看到的是TCP的三次握手,都是端口和端口的回应,一般都会有SYN,ACK的关键字
分析:
应用显示过滤器:
过滤HTTP请求非常常用,注意里面的东西要使用大写POST和GET
搜索:
ctrl +F使用搜索功能
注意选择分组详情或者分组字节流,然后选择字符串
统计功能:
协议分级:
看一下流量包是由那几个协议构成的,占比多少
HTTP分组计数器
可以看到http有几个get包有几个post包,各种状态码的包有几个,重点分析哪个?
捕获文件属性
看包的基本属性,并且可以看到抓包时当时设备的硬件信息
分析思路
先看一下协议分级,锁定哪个协议
看http的分组计时器
看post的包
.html类的流可以不用分析
重点关注.php类的流
优先看长度最长的.php流,追踪http流
常见:@eval一句话木马
关于FTP
FTP协议产生的时候时用的ftp,但是传输文件时就使用的时ftp-data这个协议了,可以直接使用导出字节流来导出传输的文件