首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/7deda69f30fdf3287e3c9c63a5cd419c.png)
网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/4f8fa0574d961520bcf790e1ace9dee2.png)
发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/2b0c756a3b4e177cf399ef4333a40b21.png)
发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/9e4fc757a467dc0c4c09a860c621a35f.png)
攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通过使用中国菜刀访问webshell文件从而进行一系列的攻击