检索流量包

最新推荐文章于 2024-03-26 10:39:12 发布
最新推荐文章于 2024-03-26 10:39:12 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 入侵检测 文章标签: 流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/130087412
版权

目录


如何分析流量包中有没有某些内容呢?尤其是当一个数据包比较大,内容比较杂的时候。这里介绍几种方法

科来网络分析系统

对HTTP流量分析效果较好
搜索功能强大

方式1:导出数据本地分析
image.png
然后就可以对CSV文件做进一步内容搜索了
image.png
方式2:直接使用科来网络分析系统
在科来官方教程中,科来网络分析系统还是支持模糊搜索的,现在已经不可以了,由于搜索功能变的更强大,因此搜索的语法也就更细化。
image.png
针对最常用的URI内容检索,介绍两种检索方法:
方法1:以明文字符匹配的方式,检索uri地址中的某些字符
image.png
使用单引号包住搜索的内容,就可以看到uri中包含指定内容的所有流量:log.url.find('secret')
image.png
方式2:使用正则检索字符串
使用斜线包住搜索的内容,后面可以添加修饰符,就可以看到uri中包含指定内容的所有流量:
log.url.find(/\d\x2fsecret/i)
image.png
某些情景中,你可能需要限制请求方法、状态码:
log.url.find(/\d\x2fsecret/i) and log.method = 'GET' and log.statuscode = '404'
image.png

Brim

能快速打开数据量巨大的流量包(相对于wireshark)
简单易用的搜索功能

工具的使用参见:流量分析工具Brim
image.png

BurpSuite

针对HTTPS流量,可以看到流量明文

流量走BurpSuite,从BurpSuite中检索流量

  1. BurpSuite设置监听地址和端口

image.png

  1. 确认代理可以正常使用
dirsearch -u http://192.168.229.136/ --full-url -R 2 -x 404,403 -e php,txt --proxy=http://192.168.229.1:8080

image.png

  1. 搜索流量内容

image.png

开发脚本

更高的自定义度,能获知匹配上的数据包内容

上面的三种方式,只能以简单的方式,应对常规的web流量分析,如果要进一步分析,可以使用如下脚本,脚本会读取到数据包所有的HTTP负载内容,然后与你输入的正则内容相匹配,并给出匹配结果。

import logging

logging.getLogger("scapy.runtime").setLevel(logging.ERROR)  # 清除报错
from scapy.all import *
import re

'''
分析pcap的mini版:
用来针对单个数据包进行分析,能够快速得知匹配上的数据包的内容
'''

filename = r'C:\Users\asuka\Desktop\test\123.pcap'  # 测试数据包的绝对路径
keyword = 'secret'  # 检查的关键字,写法为正则写法
# keyword = 'GET.*?secret\shttp'  # 检查的关键字,写法为正则写法

# 下面的代码用来把数据包中的内容输出到一个文本中
# desktop_path = os.path.join(os.path.expanduser("~"), 'Desktop')
# path_result = os.path.join(desktop_path, 'result.txt')
# a = open(path_result, 'w', encoding='utf8')

pkts = rdpcap(filename)
for pkt in pkts.res:
    try:  # decode编码实体内容的时候容易出错,使用异常处理
        pkt_load = pkt.getlayer('Raw').fields['load'].decode().strip()  # 提取负载内容,即wireshatk追踪流看到的东西
        # print(pkt_load)
        # a.write(pkt_load)   # 可以导出数据包内容便于后期分析

        re_keyword = keyword  # 使用正则过滤出数据
        if re.search(re_keyword, pkt_load, re.I):
            print('检测成功:')
            print(re.search(re_keyword, pkt_load))
            print(pkt_load + '\n')
    except:
        pass

# a.close()

image.png

Snort

更强的检测能力,更强的检测范围,但是不能看到匹配上的数据包内容

以Snort为例,借助它,你可以进一步的去检索数据包内容

lainwith
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
辨别网站流量来源的js语句
jinnyls的专栏
10-07 572
本文转自:深圳网站分析 页面地址:http://www.szwebanalytics.com/identify-traffic-sources.html 对于网站分析工具而言,是如何辨别流量的来源究竟是直接流量,推荐流量,还是搜索引擎流量的呢? 可以在浏览器中输入javascript:alert(document.referrer)语句进行判断,例如: 1)直接流量 直接输入
天眼搜索语法
tlucky的博客
03-01 2546
TCP:(sip:受害IP AND dip:解析结果IP)OR (sip:解析结果IP AND dip:受害IP)http:host:“xxx.xxx.xx” AND (sip:受害IP OR dip:受害IP)host:“xxx.xxx.xxx” AND dns_type:1 AND dip:“受害IP”源IP——本地域名服务器IP,其他域名服务器IP——dnsIP。dip:本地域名服务器IP,其他域名服务器。sip:本地域名服务器IP,其他域名服务器。dip:受害IP,本地域名服务器IP。
CTF 流量相关-流量分析(1)
热门推荐
qq_56815564的博客
04-28 1万+
前面的flag不论是直接给你明文,还是有一定的编码,都是比较简单的,像这些十成甚至九成都会是签到题,所以了解一下知道有这种情况就好,重点不再这边另外这里还是给出一下风佬的脚本吧,虽然我感觉用到的几率应该不会很大,如果要用的话,那个破空查flag的工具应该会比较好用,下载的话,风佬的git里面应该有,这里就不给了。
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 6822
通过Wireshark,我们可以捕获和分析网络数据包,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析,括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据包进行分析,帮助我们更快地定位问题所在。除了基本的数据包捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
ip检索工具
04-12
在“IP监视工具”这个子文件中,我们可以推测这可能是用于监控网络流量,捕获和分析IP数据包的组件。这种工具可以帮助网络管理员监控网络活动,排查网络问题,或者进行性能优化。它可以记录通过网络传输的每一个IP...
百度地图poi检索demo
07-18
【百度地图POI检索Demo详解】 在现代生活中,地图服务已经深入到我们日常的方方面面,尤其是在导航、位置查询、生活服务等方面发挥着重要作用。百度地图作为国内领先的在线地图服务平台,提供了丰富的API接口供...
H5 接红游戏
09-07
部署时,可以选择云服务或者自建服务器,确保能够承受大量用户同时在线的流量。 总的来说,"H5接红游戏"结合了HTML5的前端技术、PHP的后端处理以及丰富的动画效果,为用户提供了趣味性和互动性强的体验。开发这样...
百du云 lbs 存储检索 Android.rar
11-08
- **网络优化**:考虑到网络延迟和流量消耗,合理设计数据同步和检索策略。 - **异常处理**:对可能出现的网络错误、定位失败等情况进行妥善处理。 通过深入研究这个"百du云 lbs 存储检索 Android"的源码,开发者...
java开源1
06-28
Port Groper可以与用测试防火墙,干扰web 统计脚本的跟踪,为网站增加流量..往好了用什么都能干,就是不能让一个网站下线。 FTP客户端Java类库 ftp4j ftp4j是一个FTP客户端Java类库,实现了FTP客户端应具有的大部分...
如何使用科来网络分析系统过滤数据包内容
weixin_43287950的博客
03-28 4585
软件:科来网络分析系统 2020 技术交流版 官网下载 本文不过多介绍软件的安装过程,(软件安装可以看这)主要是针对软件如何快速的过滤、检索数据包,属于进阶类使用教学。 1、适合新手的使用方式 在系统选项>启用深度数据包检测过滤器---把这项勾选去掉(在开始数据包分析之前才能取消勾选) 现在你想要过滤任何IP或者端口(列表上显示的都可以作为过滤对象) 但是要是想要过滤数据包里面的内容,以IP.ID举例,图中我们可以看到有个IP.ID为8231的数据包。 在过滤框中过滤8...
科来网络分析系统安装和使用
最新发布
m0_61154780的博客
03-26 1031
科来网络分析系统安装和使用
Wireshark分析流量案例
qq_23350817的博客
11-22 3598
原文地址: https://blog.csdn.net/mcmuyanga/article/details/114524270 wireshark抓工具常用筛选命令方法 测试文件:https://pan.baidu.com/s/1QuMdefZHSqlaLSHaMVGb4w 提取码:tmjs 1、使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 解: 首先筛选一下ht
wireshark分析数据包:追踪流
zengliguang的专栏
02-03 1096
打开追踪流的界面方法 1方法 2选中数据包,右键弹出菜单根据自己的习惯进行设置。
流量分析解密
weixin_44159598的博客
04-05 2240
根据文件,使用wireshark进行分析 逐个查看内容时 在这个地方找到了流量协议的加密方式 根据这里得到的信息,我们开始寻找rsa的相关内容 在这里我们发现了RSA的公钥指数和模数,所以我们将公钥内容导出,右键->复制->复制为16进制 导出后,首先尝试yafu分解,很快就分解出来 此时我们知道rsa的e,p,q,n,所以接下来我们利用现有工具生成私钥并导入 这里生成私钥我...
科来网络全流量安全分析系统[Study]
煮酒闲谈
09-11 8102
科来网络全流量安全分析系统[Study] 科来网络分析系统是一款便携式网络分析系统,支持有线和无线网络抓分析,十分便于网管人员安装部署。帮助网管人员在各种网络问题中,快速准确的找到问题根源。它对网络中所有传输的数据包进行解码、检测、分析、诊断,帮助网管人员排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。 服务器管理器选项卡中具有以下功能: 记录控制台最近连
流量分析基础篇
weixin_30333885的博客
11-09 1万+
流量分析 1.流量分析是什么?   网络流量分析是指捕捉网络中流动的数据包,并通过查看内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,通常比赛中会提供一个流量数据的 PCAP 文件,进行分析。 2.数据包分析 总体把握 – 协议分级 – 端点统计 过滤赛选 – 过滤...
流量分析类题(1)
currify的博客
10-27 900
打开压缩,发现文件夹内有一个流量 用wireshark打开提取去其中的http 在第一个中发现ZIP的文件头格式,删除文件头前的内容并保存 退出并更改后缀名为.zip 打开压缩发现其中的文件被加密,用ARCHPR进行密码暴力破解,得到密码1314 打开得到一张照片,但并没有发现有用信息 因为照片的格式为jpg,所以暂时先不考虑LSB隐写 拖入wenhex中发现其中隐藏的ZIP 将压缩文件头前的内容删除并保存,退出将后缀名修改为.jpg得到新的压缩 发现此文...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值