![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
流量分析
文章平均质量分 73
Orcinus p
这个作者很懒,什么都没留下…
展开
-
snort安装和使用
下载snort下载npcap 0.9984版本安装npcap ,snort安装成功如果使用npcap版本不对或者使用winpcap会出现错误,winpcap不在win10运行。原创 2024-04-17 18:00:58 · 464 阅读 · 0 评论 -
【C2架构】
上线数据包:上线数据包中 一般会包含受害主机的一些基本信息,例如计算机名称,硬件 ID,计 算机版本信息等等内容,在传输之前,可能使用一些比较简单的自定 义算法,或者 RSA、AES 这类成熟的算法进行加密。对于加密数据的处理,需要确定的是是否有采用已知的算法,定 位一些关键函数是非常快速的方法,以 Windows 程序为例:需要确 定是否导入了 Crypt*系列的函数。原创 2024-03-24 20:31:42 · 655 阅读 · 0 评论 -
【协议-HTTPS】
https是在http协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。https=http+加密+认证+完整性保护https交互图:HTTPS的整体过程分为证书验证和数据传输阶段:① 证书验证阶段浏览器发起 HTTPS 请求服务端返回 HTTPS 证书客户端验证证书是否合法,如果不合法则提示告警② 数据传输阶段当证书验证合法后,在本地生成随机码通过公钥加密随机码,并把加密后的随机码传输到服务端服务端通过私钥对随机码进行解密。原创 2024-03-24 19:55:28 · 452 阅读 · 0 评论 -
【协议-HTTP】
HTTP协议(超文本传输协议HyperText Transfer Protocol),它是基于TCP协议的应用层传输协议。http协议定义web客户端如何才能够web服务器请求web页面,以及服务器如何把web页面传送给客户端。HTTP 是一种无状态 (stateless) 协议, HTTP协议本身不会对发送过的请求和相应的通信状态进行持久化处理。然而,在许多应用场景中,我们需要保持用户登录的状态或记录用户购物车中的商品。由于HTTP是无状态协议,所以必须引入一些技术来记录管理状态,例如Cookie。原创 2024-03-24 18:11:21 · 494 阅读 · 0 评论 -
一些恶意样本的流量分析学习
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。原创 2024-03-24 16:33:44 · 1099 阅读 · 0 评论 -
wireshark流量分析
wireshark 默认显示列No:编号,即pacp开始的帧号Time:时间,分解为纳秒Source:源地址,通常为IPv4、IPv6、以太网地址Destination:目的地址,通常为IPv4、IPv6、以太网地址Protocol:协议,{ 在以太⽹帧、IP包或TCP段(ARP、DNS、TCP、HTTP等)中使⽤的协议)}length:帧的⻓度,单位为字节右键列标题1.取消勾选可以隐藏列2.列首选项,点击加号、减号 新增或删除列3.自定义新增列。原创 2024-03-24 16:10:51 · 1937 阅读 · 0 评论 -
【协议-SMTP】
SMTP是简单邮件传输协议,使用tcp的25端口建立连接传输邮件。587 端口是现代网络 SMTP 提交的默认端口。587 端口还支持 TLS,这意味着您可以安全地提交邮件。smtp客户端发送操作命令,smtp服务器返回状态码。操作命令:状态码:smtp共有四个阶段,分别是:连接建立、身份认证、邮件传输、连接断开。跟踪tcp流:数字7红色字体部分都是邮件明文数据。ehlo与helo:ehlo申明需要用户验证// 用这个命令表示身份验证开始。原创 2024-03-23 20:25:03 · 387 阅读 · 0 评论 -
【协议-DNS】
DNS协议是应用层协议,用于将用户提供的主机名(域名)解析为 IP 地址。原创 2024-03-23 20:22:55 · 767 阅读 · 0 评论 -
【协议-ICMP】
ping命令底层使用的是ICMP,ICMP报文封装在ip包里。它是一个对IP协议的补充协议,允许主机或路由器报告差错情况和异常状况。ICMP使用时必须增加IP报头。通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文,把数据隐藏在ICMP数据包包头的选项域中,利用ping命令建立隐蔽通道。1.请求和回应部分数据不一致。正常的icmp数据包里,请求和回应部分数据是一致的。3.ICMP隧道 数据包中DATA 往往大于 64 比特。2.同一时间内大量的icmp数据包。原创 2024-03-23 20:16:27 · 190 阅读 · 0 评论