了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。
试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址?Q4:用户电脑的mac地址?
Q5:用户被感染了哪些恶意文件?
打开wireshark上方的菜单,统计->ipv4 statics->all address,如图所示
我们知道NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名。
所以选中一条nbns的数据。
红框定位的就是mac地址及主机名
那么使用者的姓名呢?
在电脑自带的通信过程中,一般人是不会设置完整的姓名的,题目既然这么问说明要从其他地方入手,比如用户在网站注册,或者他的邮件的名字,都有可能是姓名,所以我们尝试过滤出http请求数据。
过滤后的数据也不多,往下翻就可以看到。
可以看到post的最后一行发现了姓名。
接下来我们分析下用户感染了哪些恶意软件,以及如何被感染的。可以看到在用户注册之后,紧接着是google analytics,这是Google开发的网站流量跟踪工具。将full request uri右键-》复制-》值,然后再搜索引擎中查询。
跟踪tcp流,可以看到这个referer,说明也是从其他网页链接过来的。
去snort日志了按照目的ip检索。
接下来我们要有侧重点,因为实际攻击中ip是可能动态变化的,而一般端口是不会变得,所以我们的办法就是在source ip为10.0.21.136时,看看目的端口有哪些。
点击查看,关键信息如下。
版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104178847
如果觉得文章对你有帮助,请点击右下角“在看”