蓝队防守技术-2-流量分析Wireshark

已于 2024-04-09 15:35:21 修改
阅读量525 收藏 6
点赞数 5
分类专栏: 马士兵-网络安全学习笔记-hvv专栏 文章标签: wireshark 测试工具 网络安全
于 2024-04-09 15:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57410330/article/details/137522177
版权
本文介绍了流量分析在HVV中的重要性,特别是如何使用Wireshark进行网络封包抓包和分析,包括Wireshark的基础功能、下载与使用方法,以及在实际场景中对XSS、SQL注入、RCE注入等常见漏洞的检测技巧。
摘要由CSDN通过智能技术生成

笔记是根据马士兵教育2024HVV专题编写,作为学习记录来分享,如有错误的地方请指正,谢谢

免责声明
本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!

1、流量分析在HVV中的地位

在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分析的方法
在这里插入图片描述

2、Wireshark基础

2.1、Wireshark介绍

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。

Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。

Wireshark的出现改变了这一切,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Wireshark是全世界最广泛的网络封包分析软件之一。

2.2、Wireshark的下载与使用

下载地址:https://www.wireshark.org/

1、安装成功后,选择网口就可以进行抓包
Adapter for loopback traffic capture是本地流量也就是127.0.0.1
在这里插入图片描述
这边就是可以看到一个流量也可以查看详情,护网的时候不需要自己去抓取流量,势态感知会抓取到攻击的流量。这个我们自己抓取报文分析。

2.3、工具栏介绍

在这里插入图片描述
依次下来为:

  1. 开始捕获分组(常用)
  2. 停止捕获分组(常用)
  3. 重新开始当前捕获
  4. 捕获选项
  5. 打开以保存的捕获文 件(常用)
  6. 保存捕获文件(常用)
  7. 关闭捕获文件
  8. 重新加载捕获文件
  9. 查找一个分组(常用)(一般ctf可以搜字符串flag)
  10. 转到前一分组
  11. 转到下一分组
  12. 转到特定分组
  13. 转到首个分组
  14. 转到最新分组
  15. 在实时捕获分组时,自动滚动屏幕到最新
  16. 使用您的着色规则来绘制分组
  17. 放大住窗口文本
  18. 收缩住窗口文本
  19. 窗口文本返回正常大小
  20. 调整分组列表已适应内容

2.4、wureshark使用技巧

协议分级统计,可以大致看到抓获的数据包的主要协议情况

在这里插入图片描述

过滤选项一般遵循如下的原则,协议名、字段名、比较符号、值
比如:
tcp.dstport == 80 // 只显tcp协议的目 标端口80
tcp.srcport == 80 // 只显tcp协议的来 源端口80
tcp.port >= 1 过滤端口大于一

3、wureshark实战(流量分析)

3.1、XSS

在这里插入图片描述

3.2、SQL注入

在这里插入图片描述

3.3、RCE注入

在这里插入图片描述

3.4、文件包含注入

在这里插入图片描述

3.5、文件上传注入

在这里插入图片描述

车海滨
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
HVV(护网)蓝队视角的技战法分析_护网技战法报告,一个网络安全程序员的腾讯面试心得
m0_61549591的博客
04-03 1423
发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
哥斯拉、冰蝎、中国蚁剑在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
小司机的奥拓
06-04 1202
包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。护网中最担心的是木马已经到了服务器,我们的监控软件却没告警,之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种,导致了监控软件根本无法解密识别,今天我们就对市面上最常见的三款shell管理工具哥斯拉、冰蝎、中国蚁剑的流量进行分析,以确保我们在护网时遇到看不懂。
流量分析工具wireshark-学习笔记
weixin_49349476的博客
06-26 4450
Wireshark是一种开源网络分析工具,能够捕获不同类型的流量,根据流量追踪数据包,可以帮助分析网络的状态,是否使用什么协议,是否存在攻击
流量分析-Wireshark
最新发布
2401_85028883的博客
06-19 921
工具栏主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式,包括过滤、排序、汇总、导出和合并。显示过滤栏主要查询和过滤部分。最近的文件最近调查的文件列表。您可以通过双击调用列出的文件。捕获过滤器和接口捕获过滤器和可用的嗅探点(网络接口)。网络接口是计算机和网络之间的连接点。软件连接(例如 lo、eth0 和 ens33)启用网络硬件。状态栏工具状态、配置文件和数字数据包信息。数据包列表面板每个数据包的摘要(源地址和目标地址、协议和数据包信息)。您可以单击列表以选择一个数据包以进行进一步调查。
4、安全开发-Python-蓝队项目&流量攻击分析&文件动态监控&图片隐写技术
m0_65842464的博客
02-06 1063
(1)使用python脚本Scapy库实现指定网卡的流量抓包分析(2)使用python脚本Watchdog实现指定目录文件行为监控(3)兴趣拓展python脚本实现:将文本信息隐写入图片,图片效果不变。
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2665
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
Wireshark之流量包分析+日志分析 (护网:蓝队)web安全 取证 分析黑客攻击流程(下篇)
m0_46631208的博客
07-08 3459
前言:咦!确实让我想不到的是,这几天有不少的人催我更新分析的下篇!我以为这像便秘的粑粑,又臭又长没人看!但出乎意料,这不我加班加点就来满足你们咯!所以你懂的(悄悄告诉你:“点赞”)确实我也觉得这篇能学习到很多知识点,比如:知晓黑客攻击的流程手段,我们可以什么点来防范,采集等。来自安恒的资深项目经理讲解(甘老师)对我的谆谆教诲!(此篇只是自己的解题思路,如有问题,请轻言细语的指出来!感谢!) 本篇是下篇,讲解题目6-10题,如有需要请回顾上篇! 一 回顾题目: 注意:(我用的是一个已经被黑客攻击过的论坛
(2020上半年第70天(红蓝对抗-蓝队主机流量蜜罐等监控检测))小迪网络安全笔记
u013630181的博客
12-07 3173
蓝队技能:Wireshark捕获恶意攻击流量·上篇
qq_61553520的博客
04-09 908
过滤器:可以根据特定的IP,端口,协议等搜索特定的数据包摁下Ctrl+F会弹出筛选选项,可以指定内容筛选数据包。将主要叙述一些过滤器的用法。
蓝队的自我修养之如何从流量中检测 WebShell
m0_61869253的博客
07-28 138
webshell 样本通讯过程中必存在参数加密方法特征工具本身的 bug与正常业务不符在实战测试中,通过上述几点,对加密型 webshell 和无文件内存 webshell的通讯流量进行分析,总结相关弱特征和强特征,多种特征结合,可以准确识别这类 webshell 的通讯过程,及时处置和发现失陷主机。正常业务不符在实战测试中,通过上述几点,对加密型 webshell 和无文件内存 webshell。
2022年蓝队初级护网测试总结
weixin_43155143的博客
02-08 940
2022年蓝队初级护网测试总结
hvv培训的流量分析
arcuied
04-28 1074
hvv培训的流量分析
2022护网日记,护网工作内容、护网事件、告警流量分析
热门推荐
wangyuxiang946的博客
08-20 4万+
护网中遇到的攻击事件。 护网中各个岗位的工作内容。 常见告警流量分析
Wireshark流量分析
m0_69435261的博客
08-26 2375
CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。接下来,斗哥来为大家讲解这款工具的基本使用。
护网日记,护网工作内容、护网事件、告警流量分析
qq_53058639的博客
07-17 1468
今年HW总共15天,7月25号开始,到8月8号结束。总的来说,人坐在电脑前的时候,风平浪静,时不时蹦出几个告警。可一到换班或去厕所的时候,就会突然冒出几百条告警。我一度怀疑我们的摄像头是不是已经被入侵了,一看到我人离开就开始攻击。如果你问我,今年HW最大的收获是什么,我一定会说:我收获了一个强大的膀胱!!!
告警流量特征分析(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 5982
一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行
网络流量分析 — 企业网络的守护者
weixin_33991727的博客
11-06 126
概述  随着互联网服务的普及,网络上各个环节的带宽越来越大。国际出口的带宽以及国内运营商之间互联带宽都在成指数趋势增长。一些大型城域网的出口带宽都超过了10Gbps,电信级IDC的出口带宽很多也都超过5Gbps。不仅运营商网络带宽在不断扩充,很多行业或政府的专网的带宽也有很大增加。伴随着带宽的增加,网络上的应用和业务也不断的丰富,如基于流媒体的音视频服务,基于...
蓝队分析研判客户面试
05-01
蓝队分析研判客户面试是指在网络安全领域中,蓝队成员通过与客户进行面对面的交流和讨论,对客户的安全需求和威胁情况进行分析和研判的过程。在这个过程中,蓝队成员需要了解客户的网络架构、安全策略、安全事件历史等信息,以便为客户提供有效的安全解决方案和建议。 在蓝队分析研判客户面试中,通常会涉及以下内容: 1. 客户的网络架构和拓扑:了解客户的网络结构、主要设备和系统,以及网络连接方式等,有助于分析网络安全风险和威胁。 2. 客户的安全策略和措施:了解客户已经采取的安全措施,包括防火墙、入侵检测系统、安全审计等,以评估其有效性和完整性。 3. 客户的安全事件历史:了解客户过去发生的安全事件,包括攻击类型、攻击目标、攻击方式等,以便预测未来可能的威胁。 4. 客户的安全需求和目标:了解客户对安全的需求和期望,包括保护重要数据、防止数据泄露、提高系统可用性等,以便为客户提供定制化的安全解决方案。 在面试过程中,蓝队成员需要提出相关问题,以获取更多信息并深入了解客户的需求和情况。以下是一些可能的相关问题: 1. 您的网络架构中是否存在关键系统或数据? 2. 您是否有明确的安全策略和规范? 3. 过去一年内,您是否遭受过任何安全事件? 4. 您对当前网络安全状况有何担忧? 5. 您期望从我们这里得到什么样的安全解决方案?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值