流量分析，windows日志分析总结+题目练习

流量分析总结

定义

  流量分析是指对网络流量数据进行分析和解释，以获得有关网络中通信的信息和情报。网络流量包含了许多有关网络通信的细节信息，如源IP地址、目标IP地址、端口号、协议类型、数据包大小、传输速率等等。通过对这些信息进行分析和解释，可以获得对网络通信的深入理解，并发现潜在的问题和威胁。需要了解网络协议、数据包分析、安全攻防技术等相关知识。在网络安全领域，流量分析被广泛应用于入侵检测、网络监控、漏洞分析等方面。例如，通过对网络流量进行分析和解释，可以发现恶意软件、网络钓鱼攻击、DDoS攻击等各种网络威胁，并采取相应的防御措施。此外，还需要使用专业的流量分析工具，如Wireshark、tcpdump、Snort等等，以捕获和分析网络流量数据。wireshaark使用：http://t.csdnimg.cn/XcBOt

web流量分析基本套路

1.流量分析传输了数据：zip rar png jpg txt mp3，特别是流量包比较大时需要注意
2.binwalk分离文件，grep或者wireshark内ctrl+f搜索
3.分情况使用导出对象，导出分组字节流，原始数据
4.搜索时可以看情况搜索分组详情、分组字节流
5.查看包间的差异，可以按大小排列数据包等
6.png在流量中经常以base64形式出现
7.如果有TLS，要么找密钥，要么看别的协议

分类

(1)广播流量

广播包被发送到一个网段上所有端口，二层广播地址是 FF:FF:FF:FF:FF:FF，三层广

播地址是主机地址为 255 的 IP 地址；路由器可以分割广播域。

(2)多播流量

多播是将单一来源数据包同时传输给多个目标的通信方式，避免了数据包的大量复制，

减少了网络带宽使用率。

实施方法是通过将数据包接收者加入多播组的方式，多播地址是 224.0.0.0 ~

239.255.255.255。

(3)单播流量

一台计算机直接传输到另一台计算机。

简单的命令

查找：Ctrl+F

标记：Ctrl+M

时间显示格式：view——Time Display Fromat

相对时间：Ctrl+T

捕获选项：Ctrl+K

流量分析练习

[陇剑杯 2021]签到

下载好附件后解压，用wireshark打开

题目问的是协议，用统计打开协议分级，发现tcp协议占比最多，其中http流量占大部分

筛选一下http，发现大部分都是403请求失败，所以flag是NSSCTF{http}

[陇剑杯 2021]jwt（问1）

下载后并解压，用wireshark打开

查找http协议中包含login的流量包

追踪http流，并查找token

补充：

Token是服务端生成的一串字符串，以客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需要带上这个Token青睐请求数据即可，无需再次带上用户名和密码

JWT生成的Token由三部分组成：header.payload.signature

第一、二部分可以通过Base64解密得到，但第三部分不可以!

将token的第一句进行解码，发现是JWT认证方式，所以flag是NSSCTF{jwt}

[陇剑杯 2021]jwt（问2）

下载并解压后用wireshark打开

查找http协议中包含whoami(查看当前系统用户的命令)的流量包

在tcp.stream eq 10中，执行命令成功回显root，这里的token就是所需的数据。追踪tcp流，然后查找token

将token第二句话解码得到flag为NSSCTF{10087#admin}

[陇剑杯 2021]jwt（问3）

直接查找whoami然后看返回包

得知权限是root，所以flag是NSSCTF{root}

[陇剑杯 2021]webshell（问1）

下载并解压附件后用wireshark打开

直接筛选password

在下面的信息中找到password，所以flag是NSSCTF{Admin123!@#}

windows日志分析总结

主要参考博客：电子取证-Windows日志分析 | W4rnIn9

简介

Windows系统默认以二进制XML Windows事件日志记录格式（由.evtx扩展名指定）将日志存储在％SystemRoot％\System32\Winevt\logs目录中。日志也可以使用日志订阅远程存储。对于远程日志记录，运行Windows Event Collector服务的远程系统订阅其他系统生成的日志。

是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。

应用程序日志

包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。 
默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

系统日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

安全日志

记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。
默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx

事件ID字段

• Log Name：存储事件的事件日志的名称，在处理从同一系统提取的大量日志时很有用。
• Source：生成事件的服务，Microsoft组件或应用程序。
• Event ID：分配给每种已审计活动类型的代码。
• Level：分配给相关事件的严重性。
• User：在记录事件时，触发活动或源正在运行的用户上下文的用户帐户。注意，该字段通常表示“系统”而不是记录事件原因的用户
• OpCode：由生成日志的源分配
• Logged：记录事件的本地系统日期和时间
• Task Category：由生成日志的源分配
• keywords：用于对事件进行分组或排序。
• Computer：记录事件的计算机。当检查从多个系统收集的日志时，此功能很有用，但不应被视为导致事件的设备
• Description：一个文本块，其中记录了特定于所记录事件的其他信息，对于取证人员来说，这通常是最重要的字段。

日志分析练习

[陇剑杯 2021]日志分析（问1）

猜测是通过使用工具对网站目录进行了扫描，全局搜索200，查看成功访问的日志信息

前几次成功访问是访问了网站以及index.php，之后的访问中有通过GET方式对www.zip的访问记录，所以该文件为网站泄露的源码信息，flag为NSSCTF{www.zip}

[陇剑杯 2021]日志分析（问2）

题目说明黑客往/tmp目录写入一个文件，所以直接全局搜索tmp，发现关键词flag，这是一串URL编码

解码后发现是通过filename参数向/tmp目录传递了一个sess_car文件，所以flag为NSSCTF{sess_car}