笔记是根据马士兵教育2024HVV专题编写,作为学习记录来分享,如有错误的地方请指正,谢谢
免责声明
本文仅限于学习讨论与技术知识的分享,不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任,一旦造成后果请自行承担!
1、流量分析在HVV中的地位
在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征和分析的方法
2、Wireshark基础
2.1、Wireshark介绍
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。
Wireshark的出现改变了这一切,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Wireshark是全世界最广泛的网络封包分析软件之一。
2.2、Wireshark的下载与使用
下载地址:https://www.wireshark.org/
1、安装成功后,选择网口就可以进行抓包
Adapter for loopback traffic capture是本地流量也就是127.0.0.1
这边就是可以看到一个流量也可以查看详情,护网的时候不需要自己去抓取流量,势态感知会抓取到攻击的流量。这个我们自己抓取报文分析。
2.3、工具栏介绍
依次下来为:
- 开始捕获分组(常用)
- 停止捕获分组(常用)
- 重新开始当前捕获
- 捕获选项
- 打开以保存的捕获文 件(常用)
- 保存捕获文件(常用)
- 关闭捕获文件
- 重新加载捕获文件
- 查找一个分组(常用)(一般ctf可以搜字符串flag)
- 转到前一分组
- 转到下一分组
- 转到特定分组
- 转到首个分组
- 转到最新分组
- 在实时捕获分组时,自动滚动屏幕到最新
- 使用您的着色规则来绘制分组
- 放大住窗口文本
- 收缩住窗口文本
- 窗口文本返回正常大小
- 调整分组列表已适应内容
2.4、wureshark使用技巧
协议分级统计,可以大致看到抓获的数据包的主要协议情况
过滤选项一般遵循如下的原则,协议名、字段名、比较符号、值
比如:
tcp.dstport == 80 // 只显tcp协议的目 标端口80
tcp.srcport == 80 // 只显tcp协议的来 源端口80
tcp.port >= 1 过滤端口大于一