初学流量分析

于 2024-09-01 19:08:26 发布
阅读量716 收藏 23
点赞数 13
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ndjnddjxn/article/details/141401619
版权

     一、基本知识 

         比赛中提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。

    PCAP 这一块作为重点,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。

总的来说有以下几个步骤

  • 总体把握
    • 协议分级
    • 端点统计
  • 过滤赛选
    • 过滤语法
    • Host,Protocol,contains,特征值
  • 发现异常
    • 特殊字符串
    • 协议某字段
    • flag 位于服务器中
  • 数据提取
    • 字符串取
      • 文件提取
    • 流量包修复
    • 协议分析
    • 数据提取

二、大致类型

(一)、PCAP文件修复

        PCAP一般较少,通常借助pcapfix工具就可以修复。

一般文件结构

0                 1                 2                 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Block Type |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Block Total Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/ Block Body / / /* variable length, aligned to 32 bits */ /

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Block Total Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

常见块

Section Header BlocK(文件头)

必须存在, 意味着文件的开始

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Byte-Order Magic (0x1A2B3C4D) |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Major Version(主版本号) | Minor Version(次版本号) |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| | | Section Length | | |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/ / / Options (variable) / / /

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Interface Description Block(接口描述)

必须存在, 描述接口特性

0                 1                 2                 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| LinkType | Reserved |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| SnapLen(每个数据包最大字节数) |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/ / / Options (variable) / / /

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Packet Block(数据块)

0                 1                 2                 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Interface ID | Drops Count |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |

Timestamp (High) 标准的Unix格式 |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Timestamp (Low) |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Captured Len |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Packet Len |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/ Packet Data / / /* variable length, aligned to 32 bits */ /

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

/ Options (variable) /

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

例题

   百度杯(find the flag)

先用notepad++搜索了flag

没有什么特别的东西

接下来用wireshark来用

弹窗告诉我们需要进行文件修复

在线工具:
pcapfix - online pcap / pcapng repair service (f00l.de)

得到修复后的东西

追踪tcp流

多查几次,可以看到了

后面继续看看

       发现了 tcp.stream eq 29 的时候,在 Identification 信息中看到了 flag 中的 lf 字样,我们可以继续追踪下一个流,在 tcp.stream eq 30 的 Identification 信息中看到了 flag 中的 ga 字样,我们发现将两个包中 Identification 信息对应的字段从右至左组合。最后得到了flag。

flag{aha!_you_found_it!}

总结一下

        利用Kali或者notepad++,搜索一下有没有异常的东西;

       然后利用wireshark打开发现无法打开,然后进行文件修复;

       之后追踪流搜寻信息,寻找规律;

      主要熟悉wireshark的用法;

(二)协议分析

        网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。

HTTP协议

       ( HTTP ,也称为超文本传输协议) 是一种用于分布式、协作式和超媒体信息系统的应用层协议。 HTTP万维网的数据通信的基础

HTTPS协议

        HTTPS=HTTP+TLS/SSL 服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据.

FTP协议

    FTP(即文件传输协议) 是 TCP/IP 协议组中的协议之一。 FTP 协议包括两个组成部分,其一为 FTP服务器,其二为 FTP 客户端。其中 FTP 服务器用来存储文件,用户可以使用 FTP客户端通过 FTP协议访问位于 FTP 服务器上的资源。在开发网站的时候,通常利用 FTP 协议把网页或程序传到 Web 服务器上。此外,由于 FTP 传输效率非常高,在网络上传输大的文件时,一般也采用该协议。

        默认情况下 FTP协议使用 TCP 端口中的 20 和 21 这两个端口,其中 20 用于传输数据, 21用于传输控制信息。但是,是否使用 20 作为传输数据的端口与 FTP 使用的传输模式有关,如果采用主动模式,那么数据传输端口就是 20;如果采用被动模式,则具体最终使用哪个端口要服务器端和客户端协商决定。

例题:
 

(三)数据提取

        也是利用wireshark

wireshark 自动分析 

file -> export objects -> http

手动数据提取 

file->export selected Packet Bytes

tshark

        tshark 作为 wireshark 的命令行版, 高效快捷是它的优点, 配合其余命令行工具 (awk,grep) 等灵活使用, 可以快速定位, 提取数据从而省去了繁杂的脚本编写。

例题:
 

三、wireshark的基本使用方法

过滤IP,如来源IP或者目标IP等于某个IP

例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者

过滤端口

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

过滤端口范围:tcp.port >= 1 and tcp.port <= 80

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

  过滤协议

例子:

tcp udp arp icmp http smtp ftp dns  msnms  ip ssl oicq  bootp等等

排除arp包,如!arp   或者   not arp

   http模式过滤

例子:

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

// GET包

http.request.method == “GET” && http contains “Host: “

http.request.method == “GET” && http contains “User-Agent: “

// POST包

http.request.method == “POST” && http contains “Host: “

http.request.method == “POST” && http contains “User-Agent: “

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

一定包含如下

Content-Type:

TCP参数过滤

tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。

tcp.window_size == 0 && tcp.flags.reset != 1

 wireshark基本的语法字符

\d          0-9的数字

\D          \d的补集(以所以字符为全集,下同),即所有非数字的字符

\w          单词字符,指大小写字母、0-9的数字、下划线

\W          \w的补集

\s          空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f

\S          \s的补集

.          除换行符\n外的任意字符。 在Perl中,“.”可以匹配新行符的模式被称作“单行模式”

.*       匹配任意文本,不包括回车(\n)? 。 而,[0x00-0xff]*        匹配任意文本,包括\n

[…]          匹配[]内所列出的所有字符

[^…]          匹配非[]内所列出的字符

wireshark过滤匹配表达式实例

    搜索按条件过滤udp的数据段payload(数字8是表示udp头部有8个字节,数据部分从第9个字节开始udp[8:])

udp[8]==14        (14是十六进制0x14)匹配payload第一个字节0x14的UDP数据包

udp[8:2]==14:05 可以udp[8:2]==1405,且只支持2个字节连续,三个以上须使用冒号:分隔表示十六进制。 (相当于 udp[8]==14 and udp[9]==05,1405是0x1405)

udp[8:3]==22:00:f7 但是不可以udp[8:3]==2200f7

udp[8:4]==00:04:00:2a,匹配payload的前4个字节0x0004002a

而udp contains 7c:7c:7d:7d 匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

udp[8:4] matches “\\x14\\x05\\x07\\x18″

udp[8:] matches “^\\x14\\x05\\x07\\x18\\x14″

搜索按条件过滤tcp的数据段payload(数字20是表示tcp头部有20个字节,数据部分从第21个字节开始tcp[20:])

tcp[20:] matches “^GET [ -~]*HTTP/1.1\\x0d\\x0a”

等同http matches “^GET [ -~]*HTTP/1.1\\x0d\\x0a”

来自:http://www.csna.cn/viewthread.php?tid=14614

tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a”

tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: (.*?)pplive(.*?)\\x0d\\x0a”

tcp[20:] matches “^GET (.*?)HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*Host: “

tcp[20:] matches “^POST / HTTP/1.1\\x0d\\x0a[\\x00-\\xff]*\\x0d\\x0aConnection: Keep-Alive\\x0d\\x0a\\x0d\\x0a”

检测SMB头的smb标记,指明smb标记从tcp头部第24byte的位置开始匹配。

tcp[24:4] == ff:53:4d:42

检测SMB头的smb标记,tcp的数据包含十六进制ff:53:4d:42,从tcp头部开始搜索此数据。

tcp contains ff:53:4d:42

tcp matches “\\xff\\x53\\x4d\\x42″

检测tcp含有十六进制01:bd,从tcp头部开始搜索此数据。

tcp matches “\\x01\\xbd”

检测MS08067的RPC请求路径

tcp[179:13] == 00:5c:00:2e:00:2e:00:5c:00:2e:00:2e:00

                  \      .     .     \     .     .

2、定位字符  所代表的是一个虚的字符,它代表一个位置,你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。

^          表示其后的字符必须位于字符串的开始处

$          表示其前面的字符必须位于字符串的结束处

\b          匹配一个单词的边界

\B          匹配一个非单词的边界

ndjnddjxn
关注
  • 13
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
流量分析
加油小白的博客
03-17 7286
一、流量分析的价值 业务上: 1.清晰了解流量来源以及各来源的质量。 2.清晰了解流量在产品内部的运行轨迹和路径,从而优化产品结构。 3.清晰了解在用户路径的每个节点上,流量转化和损耗情况,从而找出问题点进行优化。 4.清晰了解运营活动中,如何设计运营活动页、广告投放页等页面,能更好的承接流量和转化,提高ROI。 技术上︰ 1.发现底层服务上的BUG,降低服务崩溃导致的损失。 2.改进资源部署网络,合理分配软硬件资源。 总的来说,流量分析主要是让我们知道,用户是从什么渠道到达产品的,在产品内部是如何流转的,
CTF中的网络流量分析:工具、技术与实战案例
最新发布
weixin_65409651的博客
08-26 979
网络流量分析是一项通过捕获和检查网络数据包来解析网络活动的技术。分析者可以识别网络中的恶意活动、异常行为或数据泄露等问题。网络流量分析在CTF竞赛中常用于重建网络攻击过程、提取敏感数据、识别命令与控制(C2)通信等任务。
流量分析作用
weixin_33985679的博客
09-27 430
1 网站流量的趋势能够预知网站的发展前景 流量高的网站说明受用户的欢迎。而且,网站流量的变化直接反应网站发展的趋势,是前进,还是快速前进,还是下降,还是快速下降,或者处于平稳期。 2 网站流量分析可以反应用户黏度 吸引了很多网站用户访问。但是,通过流量分析发现,用户停留的时间非常短,重复访问用户不多,用户平均浏览的页面也少,这样的网站用户黏度不够,有流量但是没有忠实的用户,一旦有其它...
流量分析 Traffic Analysis
JasonH2021的博客
10-01 561
简单介绍了流量分析中的常用指标,价值,主题和注意事项等
WireShark 网络流量分析抓包工具
09-06
Wireshark是一款强大的网络流量分析工具,被广泛应用于网络安全、故障排查和性能优化等领域。它以前的名字是Ethereal,由于其开源、免费且跨平台的特性,深受全球IT专业人士的喜爱。下面将详细介绍Wireshark的功能、...
Z05 - 004、网站流量多维度细分(流量分析
吾心持剑,剑锋披靡
06-21 1740
0、 初学耗时:0.5h 注:CSDN手机端暂不支持章节内链跳转,但外链可用,更好体验还请上电脑端。 一、   1.1    1.2  记忆词:   离线数据分析  ギ 舒适区ゾ || ♂ 累觉无爱 ♀ 一、   1.1 ~    1.2 ~      1.2.1 .       1.2.2 .   烟锁池塘柳。 - - - ...
Netflow网络流量分析手册
04-10
### Netflow网络流量分析手册知识点总结 #### 一、作者简介 - **作者**: 聂晓亮(网名:毛蛋哥) - **教育背景**: 毕业于北京联合大学信息工程学院 - **专业领域**: 热爱网络相关知识及摄影 - **成就**: 参加Cisco...
第三届上海市大学生网络安全大赛 流量分析
principle1的博客
12-28 2920
关于这个writeup是写给初学者的,重点在于如何利用工具。 该题目下载文件打开后是一个抓包文件 使用wireshark打开 ,wireshark下载地址:Wireshark - Download (softonic.com) 点击Protocol后,会对协议的名称按字母排序,可以初略看一下使用了哪些协议 ftp协议用于文件传输,可以点击 右键 -> 追踪流 -> TCP流 把 ‘Show data as’ 的值修改为 ‘原始数据’ 后,保存该zip文件为1.zip ...
流量分析入门
热门推荐
qq_46441427的博客
02-10 1万+
前言 个人一直对流量分析…正好看到了一些相关书籍资料,自己向前辈师傅们学习以后整理一些资料来总结一下 互联网五层模型 在计算机网络这门课中介绍了OSI模型及互联网五层模型: 在我们使用抓包软件进行流量分析的时候,抓到的包往往含有数据链路层、网络层、传输层,应用层四个部分,其中一部分在传递到不同层面的时候会被丢弃。我们的wireshark抓的包工作在数据链路层,而burpsuite抓的http包则工作在应用层 wireshark的用法 打开wireshark,可以看到 这是我们的一些接口,我现在用的是Wif
BUUCTF:[DDCTF2018]流量分析
末初的CSDN博客
12-08 3599
https://buuoj.cn/challenges#[DDCTF2018]%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90 流量分析.pcap 流量分析.txt 流量分析 200pt 提示一:若感觉在中间某个容易出错的步骤,若有需要检验是否正确时,可以比较MD5: 90c490781f9c320cd1ba671fcb112d1c 提示二:注意补齐私钥格式 -----BEGIN RSA PRIVATE KEY----- XXXXXXX -----END RSA PRIVAT
网络安全——流量分析
W981113的博客
01-14 1万+
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
流量分析基础篇
weixin_30333885的博客
11-09 1万+
流量分析 1.流量分析是什么?   网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 2.数据包分析 总体把握 – 协议分级 – 端点统计 过滤赛选 – 过滤...
流量分析基础
2301_76690905的博客
12-16 1263
Wireshark是一款世界范围最广、最好用的网络封包分析软件,功能强大,界面友好直观,操作起来非常方便。它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。在CTF中也经常会使用wireshark进行流量数据包分析,可以快速检测网络通讯数据,获取最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
CTFHUB技能树-Misc-流量分析
weixin_43486981的博客
08-17 4562
文章目录数据库类流量MySQL流量Redis流量MongoDB流量邮件流量协议流量分析ICMP-DataICMP-Length原始流量 数据库类流量 MySQL流量 下载题目附件,是一个.pcap文件 使用wireshark工具分析流量包 发现了ctfhub字段的信息,即得到了flag (小白一个,一个包一个包找的,并不知道怎么过滤关键包……) Redis流量 Redis:   - nosql数据库,非关系型数据库   - 支持5大数据类型 (字符串String,列表list、字典hash,集合se
流量分析基础知识学习
hezhing
12-26 2965
流量分析基础知识学习 wireshark基础语法 常见套路 查看关键字 http contains "flag" //直接出 追踪流 右键-》追踪流-》TCP 分组字节流 文件-》导出选择分组字节流 查看隐藏 binwalk查看 然后再用搜索 然后导出分组字节流 做题方法 flag明文 直接搜索flag,flag{ flag编码 flag经过16进制编码,或者其他编码 flag-->666C6167 unicode转ascii f-->&#102; 直接上脚
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 7600
通过Wireshark,我们可以捕获和分析网络数据包,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析,包括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据包进行分析,帮助我们更快地定位问题所在。除了基本的数据包捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
网站流量日志复杂分析(二)
haoyuexihuai的专栏
12-04 1073
要求: 字段解释: 创建表:DROP TABLE IF EXISTS yhd_log_parquet ; CREATE TABLE yhd_log_parquet( id string, url string, referer string, keyword
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值