DAY3a

在网络安全领域,流量分析是一项至关重要的技能。通过对网络数据包的捕获、解析与深度检测,我们可以识别出异常通信模式及潜在攻击行为。本文将详细探讨流量分析在Web入侵检测与溯源中的应用。

流量分析
流量分析是对网络数据包的捕获、解析与深度检测技术。它主要作用于网络层与应用层,分析对象包括HTTP请求、DNS查询、TCP会话等协议交互数据。通过流量分析,我们可以发现网络中的异常行为,如未经授权的访问尝试、数据泄露等。

攻击溯源
攻击溯源是基于攻击事件产生的日志、流量特征等信息,逆向追踪攻击者身份、攻击路径与攻击意图的过程。它包括攻击源定位(IP/地理位置)、攻击路径还原(横向移动路线)、攻击意图推断(数据窃取/系统破坏)三个核心目标。

SQL注入攻击流量分析
‌操作步骤‌:

使用Wireshark打开数据包。
在显示过滤器中输入http,过滤出HTTP协议相关的数据包。
排除干扰IP,筛选出攻击者IP的HTTP请求
通过get请求的来源IP判断攻击IP。
观察get请求参数,发现大量SQL语句,判断为SQL注入攻击。
Web入侵溯源分析
‌攻击行为特征识别‌

目录爆破流量:高频HEAD请求与404响应,用于探测后台路径12
弱口令爆破:通过HTTP流追踪POST请求,分析提交的密码字典特征12
‌Webshell植入溯源‌

木马写入方式:通过文件包含漏洞修改日志路径,或利用CMS漏洞直接上传恶意文件15
连接验证:观察攻击者通过特定URL访问Webshell,并发送加密指令的流量特征
Web入侵溯源
‌操作步骤‌:

使用Wireshark打开数据包。
在显示过滤器中输入http,过滤出HTTP协议的数据包。
观察数据包,发现大量head请求和404响应,判断为目录爆破。
追踪POST请求,发现黑客进行弱口令爆破。
分析黑客操作,确定其通过目录遍历和文件修改插入了php一句话木马。
 

FTP密码追踪
‌操作步骤‌:使用Wireshark捕获FTP流量,通过追踪流功能找到FTP登录过程中的密码明文。
‌技巧‌:利用Wireshark的追踪流功能,可以快速定位并分析特定会话的流量数据。
(2)网站密码追踪
‌操作步骤‌:捕获并分析HTTP/HTTPS流量,通过追踪流功能找到管理员登录网站的密码。
‌技巧‌:注意分析POST请求中的表单数据,往往包含敏感信息如用户名和密码。
(3)数据包文件分析
‌操作步骤‌:截获并分析HTTP报文,提取与文件传输相关的编码内容,进行转码得到原文。
‌技巧‌:利用在线转码工具或编写脚本进行编码转换,以还原文件内容。
(4)流量数据隐写分析
‌操作步骤‌:分析HTTP流量中的POST请求,找到上传文件相关的痕迹,提取并解析隐写数据。
‌技巧‌:关注HTTP流量中的文件上传操作,尤其是包含敏感数据的POST请求。
————————————————

                            版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
                        
原文链接:https://blog.csdn.net/2301_80923000/article/details/147432687

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值