天眼搜索语法

已于 2023-03-01 16:08:49 修改
阅读量2.8k 收藏 48
点赞数 7
分类专栏: 应急响应 文章标签: 天眼 流量分析 溯源 应急响应
于 2023-03-01 16:04:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/129283612
版权

一、语法 语句

dns_type:0
sip:受害IP,本地域名服务器
dip:本地域名服务器IP,其他域名服务器
dns_type:1
sip:本地域名服务器IP,其他域名服务器
dip:受害IP,本地域名服务器IP

1.找出本地域名服务器IP
host:“xxx.xxx.xxx” AND dns——type:1
源IP——本地域名服务器IP,其他域名服务器IP——dnsIP
2.定位受害IP
host:“xxx.xxx.xxx” AND dns_type:0 NOT sip:dnsIP
源IP——受害IP
3.找解析结果
host:“xxx.xxx.xxx” AND dns_type:1 AND dip:“受害IP”
addr——解析结果IP
4.找交互流量——TCP,http
TCP:(sip:受害IP AND dip:解析结果IP)OR (sip:解析结果IP AND dip:受害IP)
http:host:“xxx.xxx.xx” AND (sip:受害IP OR dip:受害IP)

二、语法示例

1、检索访问192.168.1.0/24网段445端口的tcp 流量日志。

dip:”192.168.1.0/24” AND dport:”445”

2、查询http://192.168.1.1/upload/jspspy.jsp 的第一次访问时间。

Dip:”192.168.1.1” AND uri:”/upload/jspspy.jsp”

3、检索192.168.1.1访问10.0.0.1的tcp 流量中上行负载【up_payload】包含<?php 的流量。

sip:”192.168.1.1” AND dip:”10.0.0.1” AND up_payload:0x3c3f70687020
4、检索192.168.1.11位于3308端口的mysql爆破日志。

dip:”192.168.1.11” AND dport:”3389”

5、检索解析恶意域名"down.tj999.top"的域名解析流量日志。

host:”down.tj999.top”

6、检索192.168.1.0/24网段访问10.0.0.1 的tcp流量。
左侧已选中tcp.流量,请直接写出语法。

sip:“192.168.1.0/24” AND dip:“10.0.0.1”

7、检索192.168.1.1访问10.0.0.1的tcp流量中上行负载[up_payload]包含root 的流量,写出检索对应流量的语法。[Hex(root)= 726F6F74]
左侧已选中tcp.流量,请直接写出语法。
sip:“192.168.1.1” AND dip:“10.0.0.1” AND up_payload:726F6F74

8、检索192.168.1.2和192.168.1.3访问了10.0.0.1 的tcp.流量。
左侧已选中tcp流量,请直接写出语法。
sip:(“192.168.1.2” OR “192.168.1.3”) AND dip:“10.0.0.1”

9、检索访问192.168.1.0/24网段445端口的tcp流量日志。
左侧已选中tcp.流量,请直接写出语法。

sip:“192.168.1.0/24” AND dport:“445”

10、检索agent包括[java, sword, wget] 的流量日志。
左侧已选中web访问,请直接写出语法。

agent:(java OR * sword* OR wget)

11、检索172.16.1.1对数据库172.16.1.100执行数据库操作中包含"xp_cmdshell"的流量。
左侧已选中数据库操作,请直接写出语法。[sql_info]

sip:“172.16.1.1” AND dip:“172.16.1.100” AND sql_info:“xp_cmdshell”

12、检索172.16.1.1访问木马文件http://qianxin.com/test.jsp"的流量日志。
左侧已选中web访问,请直接写出语法。

sip:“172.16.1.1” AND host:“qianxin.com” AND uri:“/test.jsp”

13.检索172.16.1.1对172 16.1.100的1433端口进行登陆并且成功的流量日志。[normal_ret]
左侧已选中登录动作,请直接写出语法。
sip:“172.16.1.1” AND dip:“172.16.1.100” AND dport:“1433” AND normal_ret:“success”

14、检索解析恶意域名"down.tj999.top"的域名解析流量日志【排除DNS设备解析行为:DNS ip:“172.16.1.1” 】
左侧已选中域名解析,请直接写出语法。

host:“down.tj999.top” NOT sip:“172.16.1.1”

15、已知恶意域名"down. tj999.top"解析结果为: “95.24.45.2”, 检索与解析结果IP存在数据交互
或与恶意域名"down. tj999.top"存在交互的所有流量日志。
左侧已选中web访问和TCP/UDP流量,请直接写出语法。
sip:“95.24.45.2” OR host:“down.tj999.top” OR dip:“95.24.45.2”

tlucky1
关注
专栏目录
QXA天眼常见协议字段及语法.pdf
11-28
主要是包含QXA天眼日志检索语法和协议字段介绍。 布尔运算符(AND、OR、NOT) 日志检索系统支持 AND OR NOT 三种运算符(运算符要大写)。 AND 运算符(AND、&& 或 +) AND 运算符关联两部分内容,代表两部门内容必须同时存在。 示例:dip:10.16.16.46 AND client_os:"Windows7 or 8" OR 运算符(OR 或 ||) OR 运算符关联两个项或短语,任意一个匹配即满足。 示例:dport:"443" OR dport:"8080" NOT 运算符(NOT、! 或 -) NOT 运算符排除含有 NOT 运算符后面的项或短语的记录。相当于非运算符。 示例:dport:"80" NOT host:"www.example.com" 通配符查询 支持在一个项内的单个和多个字符的通配符搜索。使用问号(?)表 示单个字符的通配符搜索,使用星号(*)表示多个字符的通配符搜索。 多字符的通配符搜索寻找零个或多个字符。 示例:搜索单词 mssql 或 mysql可以使用 db_type:m?sql (不加引号)
DNS 从0到1学习资料整理
最新发布
qq_43236333的博客
08-28 132
DNS从0到1
DNS协议解析1--DNS请求协议
技术无止境
10-11 6894
1、协议内容分报文头和DNS正文,如下图所示为报文头: 表示的意思分别为: ID:占16位,2个字节。此报文的编号,由客户端指定。DNS回复时带上此标识,以指示处理的对应请应请求。  QR:占1位,1/8字节。0代表查询,1代表DNS回复    Opcode:占4位,1/2字节。指示查询种类:0:标准查询;1:反向查询;2:服务器状态查询;3-15:未使用。    AA:占1位,1/
天眼基本搜索语法
人若无名,便可专心练剑
03-09 689
护网面试
天眼设备的协议字段及语法
qq_53218512的博客
06-02 3793
在该页面可以查看告警日志、网络日志、终端日志以及第三方日志等。告警日志:威胁告警、webshell上传、网页漏洞利用、网络攻击、威胁情报告警、沙箱检测告警、邮件威胁检测告警、蜜罐告警、网神云锁网络日志:web访问、TCP流量、文件传输、域名解析、SSL加密传输、数据库操作、FTP控制通道、登录动作、网络异常报文、LDAP行为、邮件行为、MQ流量、网络阻断、TeInet行为、UDP流量终端日志:IM文件传输、邮件附件传输、DNS访问审计、终端进程信息、U盘文件传输。
通过DNS数据包解释DNS协议各个字段含义
村中少年的专栏
03-21 2688
使用wireshark通过DNS数据包和对应的RFC文档解释DNS请求和响应中各个字段含义
检索流量
LainWith的博客
04-11 1389
如何分析流量包中有没有某些内容呢?尤其是当一个数据包比较大,内容比较杂的时候。这里介绍几种方法。
天眼查 Python爬虫项目源码.zip
02-27
天眼查 Python爬虫。 input.csv 要查找的企业名字 output.csv 一些基本信息输出 运行爬虫:python crawl.py ps:天眼查需要登陆后才能查看一些信息,所以这里要用到cookies,使用该爬虫时,先到代码里填写cookie...
天眼技术文档.rar
03-08
天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术文档天眼技术...
java天眼查爬虫
05-19
使用jsoup做的java爬虫, 登录自己的天眼查账号, 爬取公司详细数. 不足: 大概执行100次请求之后会被识别为机器人.
天眼查爬虫学习demo
01-22
本项目“天眼查爬虫学习demo”聚焦于使用Python编程语言进行网络爬虫的开发,主要涉及到以下几个核心知识点: 1. Python基础知识:Python是爬虫开发的常用语言,因其语法简洁、库丰富而深受开发者喜爱。你需要了解...
天眼安全设备的初步使用
赤赤三的博客
03-20 1万+
天眼三大功能:传感器(对流量解析还原,发现网络攻击和web攻击能力) 沙箱(发现恶意样本投递能力) 分析平台(存储历史流量,分析威胁和溯源能力) 天眼威胁感知: 警告类型:APT攻击 威胁级别:高危 攻击结果:失陷 攻击次数:3 天眼搜索:源IP sip 目的IP dip 地理信息:境内还是境外 搜索示例:(sip:"192.168.1.1")OR(dip:"192.168.1.1") 天眼类别: 威胁感知 调查分析 场景化分析 日志...
DNS详解(二)
孟帅的成长博客
12-30 1546
标志字段的“递归”标志位:查询动作有两种类型,即迭代查询还递归查询。打个比方,甲向乙问路,乙虽然不知道,但是他会自己去问丙然后告诉甲,这就是递归;而如果乙不知道就对甲说你自己去问丙,然后甲从丙那里得到答案,这就是迭代。一般来讲,客户端向本地缓存服务器发起的查询都是递归的,而本地缓存服务器向权威服务器发起的查询是迭代的。
DNS解析
小小郭
07-31 7939
一.DNS来源最开始世界上的机器比较少,所以都使用host来解析。到后来机器变的多了,改用由中心服务器统一更新host文件,各地的机器通过ftp从中心服务器更新host文件到本地再到后来,机器更多了,只由中心服务器来更新host文件也力不从心了,于是改成分布式的,并逐渐演化到了今天的DNS系统二.DNS服务器分类与域名对应,分根域名服务器,顶级域名服务器和权威服务器。作用如下 类别 作用
2024HVV蓝队初级面试合集(非常详细)零基础入门到精通,收藏这一篇就够了
2402_84205067的博客
07-03 1254
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料。
天眼各部分名称功能及检索方法
一名小小网络安全人的小小天地嘿嘿嘿
07-07 4674
这是一个对于奇安信天眼系统的一个比较全面的博客希望能帮助到网络安全人!!!
基于DNS数据分析的恶意域名检测
热门推荐
四个菜
10-22 2万+
导读:本文对基于DNS数据分析来进行恶意域名检测的研究进行简要的介绍。本文的目的,是让刚进入该领域的学者(或是一般的读者)能对该领域的情况有一个初步的了解,为之后的深入探究做准备。 本文主要参考的是Zhauniarovich Y, et al[1]的工作,发表在Acm Computer Surveys上的一篇较为系统地阐述了基于DNS数据分析来进行恶意域名检测的研究背景,研究过程和研究建议等内容的...
天眼数据抓取项目
蓝白社区
02-14 648
天眼数据抓取项目 本项目抓取数据为 公司高管信息以及公司违规处理历史记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值