合天恶意流量分析二

最新推荐文章于 2023-02-27 10:58:40 发布
最新推荐文章于 2023-02-27 10:58:40 发布
阅读量332 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26314251/article/details/118709430
版权

合天恶意流量分析二

在实验指导书的基础上学习
https://blog.csdn.net/yalecaltech/article/details/104176548

现有材料

1、用户机的流量数据包
2、已知的实验环境:

局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255)
域:eggnogsoup.com
域控:172.16.3.2-EggNogSoup-DC
网关:172.16.3.1
广播地址:172.16.3.255

实验任务

Q1:域里有多少台存活的主机,分别给出他们的地址
Q2:哪个主机的操作系统是ubuntu?
Q3:ip地址为172.16.3.188的是什么类型的主机?
Q4:哪个ip地址最有可能是Amazon Fire tablet
Q5:哪些windows主机曾经连接到域控上?
Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?
Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?

实验过程

Q1:域里有多少台存活的主机,分别给出他们的地址。

在菜单栏里面选中“统计”然后选择“conversation”选项。
在这里插入图片描述
选择IPv4选项然后对address A进行排序
在这里插入图片描述
当前环境中,局域网段在172.16.3.0 到 172.16.3.255之间,所以根据这个address A即可知道当前局域网内有多少台存活的主机,地址分别是

172.16.3.189      172.16.3.188      172.16.3.133      172.16.3.122
172.16.3.114      172.16.3.112      172.16.3.111      172.16.3.110
172.16.3.109      172.16.3.2

Q2:哪个主机的操作系统是ubuntu?

划重点:

访问网页时,用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。

那只要通过wireshark自带的过滤器过滤出操作系统是ubuntu的就可以了

ip contains Ubuntu and http.request
语句解析:IP中包含有Ubuntu和http协议请求

打开其中一条,追踪其TCP流,可以确定这台主机是Ubuntu操作系统的。
在这里插入图片描述
所以是地址为172.16.3.110的主机为Ubuntu操作系统

Q3:ip地址为172.16.3.188的是什么类型的主机?

首先过滤出ip地址为172.16.3.188的主机在这里插入图片描述
可以看出来这台主机的操作系统是iOS的,但是不知道是属于iPhone还是iPad还是Mac。而这些东西都会存在于访问网站时发出请求时的User-Agent中。所以我们再次输入过滤语句

ip.addr eq 172.16.3.188 and http.request

在获得数据之后追踪TCP流
在这里插入图片描述
可得知为该IP地址的主机为iPhone8

Q4:哪个ip地址最有可能是Amazon Fire tablet

上网先查了一下Amazon Fire tablet是什么东西,发现是亚马逊的平板电脑。所以这个问题就是让我们找到亚马逊平板电脑主机下是哪个IP地址。用之前找Ubuntu的过滤语句先尝试一下

ip contains Amazon and http.request

得到的结果里并没有什么有关于Amazon Fire tablet的东西,说明这个方法失效了。
在这里插入图片描述
但是作为亚马逊的平板电脑,肯定会跟苹果主机一样,访问亚马逊独有的服务网站,所以可以从另一个方向,也就是查找访问了亚马逊网站的ip地址有哪些。

dns.qry.name contains amazon

可以看到访问了亚马逊网站的有三个IP地址

172.16.3.122
172.16.3.111
172.16.3.109

在这里插入图片描述
其中地址为172.16.3.122的主机的mac地址很容易看出来是苹果的。
在这里插入图片描述
同时172.16.3.111的主机上的mac地址是Motorola在这里插入图片描述
而172.16.3.109的主机上的mac地址就是AmazonTe。所以这个地址最有可能是Amazon Fire Tablet
在这里插入图片描述

Q5:哪些windows主机曾经连接到域控上?

域建立后会有一个管理域成员的目录列表,称之为活动目录ActiveDirectory(AD),而AD默认使用Kerberos处理认证请求。

所以我们可以通过以下语句来进行过滤

kerberos.CNameString

选中一条数据流找到CNameString字段,然后右键将其“应用为列”。
在这里插入图片描述
为了查找win主机,我们可以将过滤字段优化为:

kerberos.CNameString contains win

得到如下结果。
在这里插入图片描述
所以是为如下IP地址的主机:

172.16.3.133
172.16.3.114
172.16.3.189

Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?

172.16.3.114,172.16.3.133,172.16.3.189
为了方便查找和分析,先将wireshark的界面中的列调整为:
在这里插入图片描述
感染了Emotet银行木马之后的通信特征:
https://blog.csdn.net/weixin_44001905/article/details/104549666

用下列过滤语句,来过滤出每条IP地址的数据流:

 (http.request or ssl.handshake.type == 1) and  !(udp.port eq 1900) and ip.addr eq 172.16.3.114
 (http.request or ssl.handshake.type == 1) and  !(udp.port eq 1900) and ip.addr eq 172.16.3.133
 (http.request or ssl.handshake.type == 1) and  !(udp.port eq 1900) and ip.addr eq 172.16.3.189

172.16.3.114

正常的网站浏览记录。
在这里插入图片描述

172.16.3.133

在同一个网站进行了多次的重复访问,而且好像向82.80.25.215这个地址上传了一些文件,所以这台主机可能被木马感染了。
在这里插入图片描述

172.16.3.189

可见该地址的访问情况是很正常的,一堆正规网站的客户端问候信息。
在这里插入图片描述

Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?

直接用查找UA的方法,用如下过滤语句过滤出操作系统为安卓8.0.0的ip地址。

http.request and ip contains "8.0.0"

在这里插入图片描述
并对其中的一条数据流进行TCP流追踪,可以确定该主机的IP地址为172.6.13.111,主机型号为moto e5 play
在这里插入图片描述

qq_26314251
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark统计工具
刘松华-林散
05-15 1054
转自:http://openmaniak.com/cn/wireshark_stat.php Wireshark提供了大量不同的统计工具供您使用和参考。您可以通过点击屏幕顶部的"statistics"标签找到它们。 我们将会在下面举例说明: 综合 协议层 会话 节点 输入输出图 会话列表 节点列表 服务响应时间     R
Wireshark教程:识别主机和用户
nuan444979的博客
09-27 2930
Wireshark教程:如何识别主机和用户
Wireshark教程:使用Wireshark寻找主机信息
m0_37442062的博客
04-29 1万+
使用Wireshark寻找主机信息 网络中产生流量的任何主机都应具有三个标识符:MAC地址,IP地址主机名。 我们如何使用Wireshark查找此类主机信息?我们对两种活动进行过滤:DHCP或NBNS。 DHCP流量可以帮助识别连接到网络的几乎所有类型的计算机的主机。 NBNS流量主要由运行Microsoft Windows的计算机或运行MacOS的Apple主机生成。 实验一 来自DHCP流量的主机信息 DHCP 流量对于大多数类型的网络连接可以帮助识别主机 DHCP Request >Boot
合天恶意流量分析
GrapeSour的博客
07-08 280
合天恶意流量分析一 首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志 第一条 收到whatismyaddress.com的请求 这是一个正常流量,是查看我们的出网端口的ip地址 第三条 是一个FTP stor的命令 这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上 第四条 是一个Hawkeye Keylogger的一个木马 用键盘记录器发送数据 所以通过以上分析,可以使用ftp过滤协议
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 6949
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
2018年2月违法有害恶意APP情况报告.pdf
08-26
违法类型的分析显示,2月份的恶意APP主要涉及隐私窃取和恶意传播。隐私窃取类应用有97个,恶意传播类33个,其次是资费消耗类1个,系统破坏类2个,诱骗欺诈类1个,远程控制类和恶意扣费类各0个,流氓行为类27个,内容...
全流量日志AI智能分析系统.pdf
09-05
全流量日志AI智能分析系统是一种专为解决中小型企业网络安全态势感知难题而设计的创新解决方案。长扬科技推出的这款一体机结合了全流量日志分析和人工智能技术,旨在弥补大型企业在边缘分析设备上的不足,特别是在...
【推荐】最新金融安全解决方案和实践合集.zip
07-26
加密流量恶意软件分析在金融场景的实践; 建设新一代金融业智慧安全态势感知平; 建设银行网络安全防护体系演进及威胁情报探索应用; 金融安全与区块链分论坛.金融分布式账本安全规范; 金融安全与区块链分论坛....
raw socket 大合集
01-02
通过捕获并分析网络流量,可以监控网络活动,用于安全审计和故障排查。 ### 6. 安全与限制 由于raw sockets的权限较高,一般仅限于root用户使用,以防止恶意攻击。在使用raw sockets时,必须谨慎处理,避免滥用...
最实用的几个小工具合集
09-22
最后,"b冰刃(icesword) V1.22.rar"是一个强大的系统底层分析工具。IceSword,又名冰刃,可以用来检测和处理系统中的隐藏进程、服务、注册表项等,对于排查系统问题、揪出恶意软件有着显著的效果。虽然它的使用需要...
恶意流量分析训练
Yale的博客
02-04 1983
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup.com 域控:172.16.3.2-EggNogSoup-DC 网关:172.16.3.1 广播地址:172.16....
恶意流量分析训练十一
Yale的博客
02-05 1264
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。 我们需要分析分析这个数据包,解答下列问题: 10.0.0.201的mac地址...
Wireshark过滤规则之:http数据包
热门推荐
chenzhisi的专栏
11-13 6万+
Wireshark过滤语句中常用的操作符 关键字有: eq,== 等于 ne,!= 不等于 gt,> 比…大 lt,= 大于等于 le, 另外还有contains和matches两个不常用的关键字,过滤效果不错。 “contains”过滤包含指定字符串的数据包。例如: http.request.uri contains “/dll/test.htm?”
用 Kerberos 为 J2ME 应用程序上锁
有家客栈 君子不器
09-15 978
<br /><br />(源自:http://www.ibm.com/developerworks/cn/java/wi-kerberos/)用 Kerberos 为 J2ME 应用程序上锁,第 1 部分: Kerberos 数据格式介绍<br />理解 Kerberos 如何保证无线安全性文档选项<br />将此页作为电子邮件发送<br />未显示需要 JavaScript 的文档选项<br /><br />级别: 初级<br />Faheem Khan (fkhan872@yahoo.com), 自由顾
流量分析
chanbeng5693的博客
08-02 612
分 析 报 告数据包: LAN SEGMENT属性:IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)网关IP:10.1.75.1广播IP:10.1.75.255域控制器(DC):PixelShine-DC,10.1.75.4域名:pixelshine.net 需求: 说明这种感染的时间和日期。确定受感染的Windows客户端的IP地址。确定受感染的Win...
[Kerberos] Kerberos教程(一)
weixin_30532759的博客
07-19 1124
1 简介 Kerberos协议旨在通过开放和不安全的网络提供可靠的身份验证,其中可能拦截属于它的主机之间的通信。但是,应该知道,如果使用的计算机容易受到攻击,Kerberos不提供任何保证:身份验证服务器,应用程序服务器(imap,pop,smtp,telnet,ftp,ssh,AFS,lpr,...)和客户端必须不断更新,以确保请求用户和服务提供商的真实性。 以上几点证明了这句话:“Kerb...
EN 15085-2:2007 中文 铁路应用-轨道车辆和轨道车辆部件焊接.pdf
最新发布
07-13
EN 15085-2:2007 中文 铁路应用-轨道车辆和轨道车辆部件焊接.pdf
项目租赁站架管(扣件)租出回收凭证表.docx
07-13
项目租赁站架管(扣件)租出回收凭证表.docx
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括以下几个步骤: 1. 数据采集:通过网络监控设备、IDS/IPS、防火墙等安全设备,收集网络流量数据。 2. 数据清洗和预处理:对采集到的数据进行清洗和预处理,去除不相关的数据和异常数据,以提高建模的准确性。 3. 特征提取:从清洗和预处理后的数据中提取关键特征,例如源IP地址、目标IP地址、端口号、协议类型等等。 4. 模型训练:利用机器学习算法对提取的特征进行训练,构建恶意流量分类模型。 5. 模型评估和优化:对训练好的模型进行评估和优化,以提高模型的准确性和鲁棒性。 6. 部署和应用:将训练好的模型部署到实际网络中,实时监测网络流量并识别恶意流量。 总的来说,恶意流量分析大数据建模是一种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值