Wireshark教程:设置过滤

最新推荐文章于 2024-02-21 19:46:07 发布
最新推荐文章于 2024-02-21 19:46:07 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: Wireshark
原文链接:https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
版权

wireshark设置过滤

1.感染流量指标

本教程使用Windows感染流量示例,这些流量来自通过大规模分发方法,如恶意垃圾邮件(malspam)或Web流量分发的商品恶意软件。 在恶意软件(通常是Windows可执行文件)感染Windows主机之前,这些感染可以遵循许多不同的路径。

指标包括从网络流量中获取的与感染相关的信息。 这些指标通常称为危害指标(IOC)。 安全专业人员经常记录与Windows感染流量相关的指示器,例如URL,域名,IP地址,协议和端口。 正确使用Wireshark显示过滤器可以帮助人们快速找到这些指标。

2.Wireshark显示过滤器

经常使用到的

 Equals: == or eq
 And: && or and
 Or: || (double pipe) or or

 ip.addr eq 192.168.10.195 and ip.addr == 192.168.10.1
 http.request && ip.addr == 192.168.10.195
 http.request || http.response
 dns.qry.name contains microsoft or dns.qry.name contains windows

指定排除值时,请勿在过滤器表达式中使用!=。例如,如果要指定不包含IP地址192.168.10.1的所有流量,请使用!(ip.addr eq 192.168.10.1)而不是ip.addr!= 192.168.10.1

3.过滤基于Web的感染流量

快速查看pcap中的网络流量:

http.request or ssl.handshake.type == 1

值http.request显示HTTP请求的URL,而ssl.handshake.type == 1显示HTTPS或SSL / TLS通信中使用的域名。

但是,我也使用Windows 7主机生成pcaps流量,并且该流量包括在正常活动期间通过UDP端口1900发出的HTTP请求。 UDP端口1900上的HTTP通信是简单服务发现协议(SSDP)。 SSDP是用于发现即插即用设备的协议,它与正常的网络流量无关。 因此,我使用以下表达式将其过滤掉:

http.request or ssl.handshake.type == 1 and !(udp.port eq 1900)

http.request or ssl.handshake.type == 1 and !(ssdp)

从Windows 7主机上的感染中检查pcap时,过滤出SSDP活动可提供非常清晰的流量视图。 图6显示了从2018年12月3日开始在Windows 7主机上具有IcedID感染流量的Emotet活动。 它针对包含SSDP请求的Web流量进行过滤。 图7显示了对除SSDP请求之外的Web流量进行过滤的相同pcap,它提供了更清晰的活动图。
![在这里插入图片描述](https://img-blog.csdnimg.cn/20在这里插入图片描述
添加!ssdp后更加清晰
在这里插入图片描述
在图7中,我们看到了一些感染流量的指标,但并非所有感染指标都可以显示出来。 在某些情况下,受感染的主机可能会尝试与已脱机或拒绝TCP连接的服务器连接。 通过添加tcp.flags eq 0x0002在过滤器中包含TCP SYN段,可以揭示这些尝试的连接。 对相同的流量尝试以下过滤器:

(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

在这里插入图片描述

其中黑色部分三次握手没有回应

在搜索中包括TCP SYN段,这表明受感染的主机还试图通过TCP端口8443与IP地址217.164.2 .133连接。

4.过滤其他类型的感染流量

在某些情况下,感染后流量将不是基于Web的,并且被感染的主机将与命令和控制(C2)服务器联系。 这些服务器可以直接托管在IP地址上,也可以托管在使用域名的服务器上。 某些感染后活动(例如,由Nanocore远程访问工具(RAT)引起的C2通信)不是HTTP或HTTPS / SSL / TLS通信。

因此,在查看pcap来查看流量中是否有任何这些域处于活动状态时,我经常添加DNS活动。 这将导致以下过滤器表达式:

(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

我使用上面的过滤器表达式查看了pcap,该pcap显示了从www.mercedes-club-bg [.]com下载的Nanocore RAT可执行文件,以感染易受攻击的Windows主机。 初始下载后,尝试通过TCP连接到185.163.45 [.]48上的franex.sytes [.]net和95.213.251 [.]165上的franexserve.duckdns [.]org。 图10显示了DNS查询和TCP流量之间的相关性。

在这里插入图片描述

某些感染流量使用的通用协议很容易被Wireshark解码。 图11显示了由该恶意软件可执行文件产生的感染后流量,该可执行文件生成FTP流量。 使用标准的网络流量搜索(该功能还会检查DNS流量和TCP SYN标志),在对ftp.totallyanonymous [.] com进行DNS查询之后,我们可以找到TCP端口21和其他TCP端口上的流量。

在这里插入图片描述
在这里插入图片描述
检索两个文件

向下滚动至以后的FTP通信,如图13所示,您将发现大约每分钟发送到FTP服务器的名为6R7MELYD6的文件。 进一步调查将发现6R7MELYD6包含从受感染Windows主机窃取的密码数据。

在这里插入图片描述
除了FTP,恶意软件还可以使用其他通用协议来处理恶意流量。 Spambot恶意软件可以将受感染的主机转变为旨在每分钟发送数十至数百封电子邮件的spambot。 它的特征是对各种邮件服务器的几个DNS请求,然后是TCP端口25、465、587或与电子邮件流量关联的其他TCP端口上的SMTP流量。

(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns)and!(udp.port eq 1900)

在查看spambot流量时,您会发现对邮件服务器的DNS查询和对与SMTP相关的端口的TCP通信。

如果将smtp用作过滤器表达式,则会发现几个结果。如果您发现STARTTLS,则可能是经过加密的SMTP通信,并且您将无法看到电子邮件数据。

smtp contains "From: "
smtp contains "Message-ID: "
smtp contains "Subject: "

在这里插入图片描述
在这里插入图片描述

tcp流

5.保存过滤器

basic (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
basic+ (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
basic+DNS (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

进一寸有一寸的欢喜077
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark过滤
05-21
wireshark过滤wireshark过滤wireshark过滤wireshark过滤wireshark过滤wireshark过滤
网络安全学习笔记(2)
qq_40316844的博客
08-23 1157
Wireshark的使用 这篇文章在于使用Wireshark,同样下载和安装方面就不再赘述,具体的方法自行百度,总体安装较为成功,并未出现任何问题。打开Wirshark: 首先选择需要监听的网卡,可以选择自己现在正在上网的网卡,选择后开始抓包,接下来最重要的就是过滤:这里介绍了一些基础的使用方法 过滤源ip、目的ip 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为19...
wireshark过滤基础知识
weixin_34406061的博客
10-06 274
一、IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP 二、端口过滤: 比如:tc...
Wireshark过滤DNS协议包语法实战
qq_36588424的博客
02-21 1125
现网DNS服务器发现CPU突增,发现有可能是客户恶意发起的随机子域名扫描,对服务器进行抓包分析,记录下当时的操作。
Wireshark——过滤设置
qq_45951891的博客
11-04 4210
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark学习随手记
Season@HangZhou 专栏
03-24 1054
一、基本语法。 a)        ip.src == 192.168.0.2 && ip.dst == 192.168.0.3。红色部分可以是&&、||、! 等(或相应的英文:and、or、not)。     二、针对协议的过滤   (1)仅仅需要捕获某种协议的数据包,表达式很简单仅仅需要把协议的名字输入即可。                表达式为:http   (2)需要捕获多
wireshark 过滤条件设置
qq_27443279的博客
09-30 6545
 1. 过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1;  2. 端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==
Wireshark 实用篇:Wireshark 抓包常用过滤命令
热门推荐
彪锅锅来啦
06-09 1万+
Wireshark 抓包常用过滤命令
wireshark过滤规则
usstmiracle的博客
10-14 9601
显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是192.168.0.1的包。(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。(2)需要捕获多种协议的数据包,也只需对协议进行逻辑组合即可。
Wireshark常用过滤使用方法
想到就写点东西的博客
08-13 5956
过滤源ip、目的ip。在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1端口过滤。如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的,tcp.srcport==80只过滤源端口为80的包协议过滤比较简单,直接在Filter框中直接输入协议名即可,如过
Wireshark使用视频教程
11-17
使用视频教程 1.1 为什么要学习Wireshark 1.3 快速上手Wireshark 1.5 如何设置抓包过滤器 1.6 如何设置展示过滤器 1.7 抓包的其他设置项 1.8 如何具体分析单个数据包 1.13 Wireshark本身的设置
Wireshark使用教程and过滤
11-10
Wireshark是一款非常好的网络包分析工具, 里边有3个文档
wireshark使用详细教程.pdf
03-28
详细分析:Wireshark提供了丰富的分析工具,可以对捕获到的数据包进行深入分析,包括协议头部信息的解析、流量统计和过滤等。 统计信息生成:Wireshark可以生成各种网络流量统计信息,如网络流量分析、协议分布情况...
wireshark入门视频教程
01-22
wireshark入门视频教程,适合初学者,目录: 01_为什么要学习wireshark.mp4 02_如何安装wireshark.mp4 03_快速上手wireshark.mp4 04_wireshark的工作原理和功能模块.mp4 05_如何设置抓包过滤器.mp4 06_如何设置展示...
Wireshark视频教程.zip
05-24
1.5 如何设置抓包过滤器 1.6 如何设置展示过滤器 1.7 抓包的其他设置项 1.8 如何具体分析单个数据包 1.9 分析时的快捷菜单——第一栏 1.10 分析时的快捷菜单——第二三栏 1.11 其他菜单内容 1.12 统计分析菜单功能 ...
99-智慧园区数据平台方案.pptx
04-27
99-智慧园区数据平台方案.pptx
node-v12.11.1-x86.msi
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Springboot+Vue华强北商城二手手机管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
Wireshark 教程
07-27
对于Wireshark教程,我可以为您提供一些基本信息和指导。Wireshark是一个开源的网络协议分析工具,它可以捕获和分析网络数据包。以下是一些基本的步骤和技巧,供您了解如何使用Wireshark: 1. 下载和安装:您可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值