科来抓包
文章平均质量分 56
科来
weixin_39934009
这个作者很懒,什么都没留下…
展开
-
2021-05-16-读书笔记安全抓包分析20-25
读书笔记20 如何定位系统大面积无法访问根源 拓扑 外网---负载F5----服务器---数据库,发现无法访问,存在大量访问被重置的情况,发现客户与服务器建立三次握手后发送post请求,服务器正常回复ack进行确认,但等待几秒几十秒后,客户端仍未收到数据,于是将会话断开,直接回复客户端RST会话关闭。通过分析,客户端在发送请求后,数据库没有技术发送数据响应,客户端在等待260秒后发送fin中断信号,5分钟后才得到数据库回复响应数据及fin包。这直接导致数据库连接过多,数据库无...原创 2021-05-16 19:31:49 · 105 阅读 · 1 评论 -
2021-05-15-读书笔记安全抓包分析16-19
读书笔记16 如何找出应用层拒绝服务攻击行为 通过www.check-host.net网站联通性报告,可以查看网站什么时间不能访问,也可看抓包信息3。发现某时段有几分钟流量低估,tcp会话交互过程中发现这段时间客户向网站发送应用层请求后,服务器没有任何回应,而是直接关闭会话ack fin,可能受到http协议应用层攻击,导致无法提供正常网页服务,这段时间与服务器通讯的客户端数据看,有个国外的ip可疑,1 该ip正好出现在问题时段 2 5分钟建立了几百个tcp会话 3 http请求使用post方...原创 2021-05-15 19:53:29 · 77 阅读 · 1 评论 -
2021-05-15-读书笔记安全抓包分析11-15
读书笔记-11 如何分析暴力破解数据库密码的行为 1 查到某ip300多会话,会话是小包,并且和数据库的通讯时间短且频率极快,报文长度在8-10字节,而正常数据库通讯规律具有数据包偏大,通讯时间长,通频率慢的特点 抓包发现在尝试sa口令,服务器在回复对方尝试后立即终止会话,说明没有成功。 读书笔记-12 如何分析端口扫描行为 1 syn如对方返回syn/ack则表示端口处于监听状态,此时扫描端必须再返回一个RST来...原创 2021-05-15 18:45:36 · 164 阅读 · 1 评论 -
2021-05-05-读书笔记安全抓包分析6-10
读书笔记-6 如何发现植入后门的内网主机 1 发现告警日志以CIFS(文件共享居多),可疑IP通过netbios收集对端主机的操作系统版本信息,探测IPC$,ADMIN$,攻击者通常会通过这些默认共享,发起一些如账号暴力破解等行为 特点:捕获中招主机与国外服务器的通讯行为,捕获端口139中存在访问主机的系统默认共享IPS$的流量,发现程序命名方式类似 主机被攻击后再被植入后门,用户很难察觉,仅靠防火墙,IPS很难发现,要全流量的回溯行为才能发现。 ...原创 2021-05-05 17:07:46 · 62 阅读 · 0 评论 -
2021-05-05-读书笔记安全抓包分析1-5
读书笔记-抓包分析-1 分析入侵门户网站行为 1 问题描述 网站多次被黑,运维无法了解攻击手法,无法了解被黑手法,只能登录被黑服务器,删除黑链接。 2 抓包发现被黑服务器是由其他服务器ftp上传黑链,其他服务器又与其他主机有数据通信,且使用SSH,该主机与国外ip有持续流量行为,并且有主动的心跳检查,可见该主机被黑且被写入恶意程序,受控主机发起对百度的访问,实际地址却指向国外地址,这是一个伪装的网页交互过程。 3 回溯 攻击者在受控主机写入恶意程序,建立与网站的链接...原创 2021-05-05 12:16:11 · 158 阅读 · 0 评论