流量分析
oJiuJieZhong
这个作者很懒,什么都没留下…
展开
-
WireShark流量分析(数据包经过三层路由之后的变化(ARP))
拓扑图:数据传递过程:PC1------SW---------ROUTER---------SW-----PC2整个过程的流量帧:流量分析:情况是第一次通信,有路由器存在,跨网段的通信。①PC1开始Ping PC2,因为是跨网段的通信,所以要先发ARP包请求网关的MAC地址,要拿到网关的MAC地址才能正确封装数据。这时ARP包(注意这里是ARP包,不是你的Ping包)里源ip地址为PC1的IP地址,源MAC地址为PC1的MAC地址,目标IP地址网关的地址,目标MAC地址为全F原创 2021-02-21 15:06:42 · 1335 阅读 · 0 评论 -
WireShark流量分析(证书 certificate)
攻击者可以对证书进行修改,攻击的效果是:内网可以访问服务器的web,外网不能访问,就是因为服务器没有受信任的证书。这种攻击可以从流量分析中看出,如果服务器没有提供证书,就有这种可能...原创 2021-02-16 17:45:05 · 1411 阅读 · 1 评论 -
WireShark流量分析(中国菜刀,webshell)
首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通原创 2021-02-12 23:32:03 · 4271 阅读 · 0 评论 -
WireShark流量分析(任意文件上传)
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据(帧)。还是老套路,网络攻击一般都是通过web来实现,那就先从http开始筛选。由下图可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST请求,那下一步再次筛选POST请求。这下结果显而易见了,大部分POST请求都在访问一个html文件,而唯独有一个数据帧在对upload文件夹进行上传点开该数据帧,发现这个一个任意文件上传的漏洞,通过修改content-type来实现绕过,并且攻击者通过漏洞上传了一个一句话木马。原创 2021-02-12 22:58:22 · 3706 阅读 · 0 评论 -
WireShark流量分析(暴力破解)
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。依据图可知,是大量tcp,少量http,从少的开始我们熟知对于web中HTTP协议中的POST方式的危害性最大,接下来将流量包进行筛选发现POST方式中,有一个频繁出现的IP地址一直在进行登录的尝试,现在初步判定为暴力破解那再次进行筛选,单独将此IP筛选出来从开始看到结尾,此IP总共进行5秒钟的登录,判定在进行暴力破解通过数据流量的长度来判断,攻击者是否有成功的破解到账户和密码如上图可知,数据包的长度与其他的数据流量长度不一原创 2021-02-08 20:23:58 · 5507 阅读 · 2 评论