wireshark提取流量包中的文件_网络攻击流量分析技巧

声明：由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经知微安全允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

众所周知，网络安全检测方法大多是基于已知规则库进行监测流量分析，大多数网络攻击工具也或多或少存在一些特征，所以大家公认网络攻击者的行为一定和正常的网络访问行为不一样。所以通过分析网络流量，可以进一步检测网络中是否存在未知攻击行为，网络攻击流量分析过程最关键的是脑中要有一个攻击的流程，去思考攻击者的攻击路径，然后筛选分析。

0x00 Wireshark筛选命令

---

Wireshark是一款功能强大的网络抓包分析工具，大家对它并不陌生，可能工作 中经常 都会用它来排查故障、分析攻击类 型，下边介绍几个最常用的小技巧，大家有特殊 需要的话，可以通过过滤器里看语法。

过滤ip

ip.src==192.168.0.102ip.dst==192.168.0.102ip.addr==192.168.0.102

过滤端口

tcp.port==80

过滤协议

HTTP、HTTPS、FTP、ARP等

过滤请求方式

http.request.method==POSThttp.request.method==GET

过滤请求里的指定数据

http contains "passwd"

过滤请求的指定URI

http.request.uri=="/admin/"

0x01 常见扫描器的特征

---

一般常见的扫描器或者自动化攻击工具，在请求的URL，Header,或者Body里都会随机包含能代表自己的特征信息。我们在要分析的流量里查找或全局搜索相关特征就可以发现相关自动化工具的痕迹。

AWVS

acunetix-wvs-test-for-some-inexistent-fileby_wvsacunetix_wvs_security_testacunetixacunetix_wvsacunetix_testAcunetix-Aspect-Password:Cookie: acunetixCookieLocation: acunetix_wvs_security_testX-Forwarded-Host: acunetix_wvs_security_testX-Forwarded-For: acunetix_wvs_security_testHost: acunetix_wvs_security_testCookie: acunetix_wvs_security_testCookie: acunetixAccept: acunetix/wvsOrigin: acunetix_wvs_security_testReferer: acunetix_wvs_security_testVia: acunetix_wvs_security_testAccept-Language: acunetix_wvs_security_testClient-IP: acunetix_wvs_security_testHTTP_AUTH_PASSWD: acunetixUser-Agent: acunetix_wvs_security_testAcunetix-Aspect-Queries:任意值 Acunetix-Aspect:任意值

Netsparker

netsparkerNetsparkerns: netsparkerX-Scanner: NetsparkerLocation: NetsparkerAccept: netsparker/checkCookie: netsparkerCookie: NETSPARKER

Appscan

Content-Type: AppscanContent-Type: AppScanHeaderAccept: AppscanUser-Agent:Appscan

Nessus

x_forwarded_for: nessusreferer: nessushost: nessus<script>cross_site_scripting.nasl# NASL是一个为Nessus开发的脚本语言，这种特征基本可以判断是nessus扫描器触发

绿盟极光RSAS

User-Agent:Rsasnsfocus

Sqlmap

User-Agent: sqlmap/1.**** #dev (http://sqlmap.org)

分析流量的时候，测试有没有上述特征即可，例如：

http contains "sqlmap"

0x02 小技巧

---

• 看攻击机ip和受害机ip、vpn之类的,看 统计->端点，哪个通信量大

• 看http 请求url： 统计->http->请求 (筛选的时候可能需要等待)

0x03 可能会存在的坑点

---

有些服务器改了协议默认端口号导致Wireshark识别不出来，可以修改Wirshark识别，例如 编辑->首选项->Protocols->ftp  改端口就好了 也可以从tcp中筛选端口找ftp。

0x04 tshark 筛选用法

---

tshark是网络分析工具Wireshark下的一个工具，在安装Wireshark的时候就默认安装了tshark，主要用于命令行环境进行抓包、分析，尤其对协议深层解析和当流量包特别大的时候，使用Wireshak软件的话操作比较耗时耗性能，我们可以用tshark命令行快速提取出我们想要的信息再进行分析。

上图是运行-h参数，具体的参数解释可以参考官方文档

https://www.wireshark.org/docs/man-pages/tshark.html

以下为一些常用的搭配，有时在CTF流量分析中也可能也会有意向不到的效果：

#从数据包里列出所有隐藏文件tshark -rout.pcap -T fields -e data >123.txt#过滤出mysql.query查询语句的报文tshark -rout.pcap -T fields -e mysql.query >123.txt#在分析webshell流量中，过滤出包含指定特征uri的报文tshark -rshell.pcap -Y "http and http.request.uri contains upload" -wtest.pcap#过滤dns cap包中源ip、目的ip、request请求tshark -r out.cap-T fields -e frame.time -e ip.src -e ip.dst -e dns.qry.name -R 'udp.dstport==53|| dns'#从抓包的文件中提取出报文相关数据信息，如时间、源IP、目的IP、协议名、源Port、目标Port、包大小等信息，最后输出到csv文件tshark -r out.pcap-T fields -e frame.time_relative -e ip.src -e ip.dst -e ip.proto -e tcp.srcport-e tcp.dstport -e frame.len -E header=n -E separator=, -E quote=n -Eoccurrence=f > output.csv

0x05 总结

---

近年来随着实战攻防演习的开展，防守方除了看监控设备、分析监控报警、分析溯源之外，流量分析在实战攻防演习中是常用的分析攻击者行为的手段，网上一般很难找到真实环境的流量，所以日常可以从一些CTF流量分析题目中找到一些案例，分析过程最重要的还是脑中要有一个清晰攻击分析流程，去思考攻击者的攻击路径，然后筛选分析。