0×00 先說幾句
以下文章爲烏雲轉載過來,因爲這系列文章對於網絡攻擊底層分析與wireshark的使用都分析的非常透徹,所以直接複製過來給大家分享一下。
開篇主要說wireshark的基本使用,大家可以參考我自己寫的教程:wireshark常用選項與功能總結【10分鐘成爲抓包大師】
一看題目,很多朋友就會有疑問:市面上那麼多的安全監控分析設備、軟件,爲什麼要用WireShark來發現黑客和攻擊行爲?我想說的是WireShark目前作爲最優秀的網絡分析軟件,如果用好了,比任何設備、軟件都Nice。首先,它識別的協議很多;其次,WireShark其實具備很多分析功能;最主要的,它免費,既能採集又能分析,不丟包、不棄包。
我們雖然也接觸了很多監控分析設備,但在分析中始終離不開WireShark的輔助,喜歡它的“誠實”,不忽悠、不遺漏,完完全全從原理上去認識數據。
本系列就是要拋開了各種所謂分析“神器”和檢測設備,完全依靠WireShark從通信原理去發現和解密黑客的各種攻擊行爲。當然,僅是交流學習貼,不當之處請各位大神“輕噴”。
0×01 WireShark的常用功能
介紹WireShark的書籍和文章比較多,本文就不獻醜細講了,一起了解一下部分常用的分析功能。
1、抓包捕獲
菜單中選擇Capture,選擇Interface,然後選擇需抓包的網卡。
可以勾選網卡,點擊Start開始抓包。如想連續抓包設置文件大小、定義存放位置、過濾性抓包,點擊Options進行設置。
2、數據過濾
由於抓包是包含網卡所有業務通信數據,看起來比較雜亂,我們可以根據需求在Filter對話框中輸入命令進行過濾。常用過濾包括IP過濾(如:ip.addr==x.x.x.x,ip.src== x.x.x.x,ip.dst== x.x.x.x)、協議過濾(如:HTTP、HTTPS、SMTP、ARP等)、端口過濾(如:tcp.port==21、udp.port==53)、組合過濾(如:ip.addr==x.x.x.x && tcp.port==21、tcp.port==21 or udp.port==53)。更多過濾規則可以在Expression中進行學習查詢。
3、協議統計、IP統計、端口統計
協議統計:在菜單中選擇Statistics,然後選擇Protocol Hierarchy,就可以統計出所在數據包中所含的IP協議、應用層協議。
IP統計:在菜單中選擇Statistics,然後選擇Conversation,就可以統計出所在數據包中所有通信IP地址,包括IPV4和IPV6。
端口統計:同IP統計,點擊TCP可以看到所有TCP會話的IP、端口包括數據包數等信息,且可以根據需求排序、過濾數據。UDP同理。
4、搜索功能
WireShark具備強大的搜索功能,在分析中可快速識別出攻擊指紋。Ctrl+F彈出搜索對話框。
Display Filter:顯示過濾器,用於查找指定協議所對應的幀。
Hex Value:搜索數據中十六進制字符位置。
String:字符串搜索。Packet list:搜索關鍵字匹配的Info所在幀的位置。Packet details:搜索關鍵字匹配的Info所包括數據的位置。Packet bytes:搜索關鍵字匹配的內容位置。
5、Follow TCP Stream
對於TCP協議,可提取一次會話的TCP流進行分析。點擊某幀TCP數據,右鍵選擇Follow TCP Stream,就可以看到本次會話的文本信息,還具備搜索、另存等功能。
6、HTTP頭部分析
對於HTTP協議,WireShark可以提取其URL地址信息。
在菜單中選擇Statistics,選擇HTTP,然後選擇Packet Counter(可以過濾IP),就可以統計出HTTP會話中請求、應答包數量。
在菜單中選擇Statistics,選擇HTTP,然後選擇Requests(可以過濾IP),就可以統計出HTTP會話中Request的域名,包括子域名。
在菜單中選擇Statistics,選擇HTTP,然後選擇Load Distribution(可以過濾IP),就可以統計出HTTP會話的IP、域名分佈情況,包括返回值。
0×02 WireShark分析攻擊行爲步驟
利用WireShark分析攻擊行爲數據,首先得具備一定的網絡協議
知識,熟悉常見協議,對協議進行分層(最好分七層)識別分析。(如果不熟悉也沒關係,現學現用也足夠)。然後,需熟悉常見的攻擊行爲步驟、意圖等等。畫了張圖,不太完善,僅作參考。
0×03 後續文章初步設計
對於後續文章內容,初步設計WireShark黑客發現之旅--暴力破解、端口掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、數據庫攻擊、郵件系統攻擊、基於Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。
0×00 先說幾句
以下文章爲烏雲轉載過來,因爲這系列文章對於網絡攻擊底層分析與wireshark的使用都分析的非常透徹,所以直接複製過來給大家分享一下。
開篇主要說wireshark的基本使用,大家可以參考我自己寫的教程:wireshark常用選項與功能總結【10分鐘成爲抓包大師】
一看題目,很多朋友就會有疑問:市面上那麼多的安全監控分析設備、軟件,爲什麼要用WireShark來發現黑客和攻擊行爲?我想說的是WireShark目前作爲最優秀的網絡分析軟件,如果用好了,比任何設備、軟件都Nice。首先,它識別的協議很多;其次,WireShark其實具備很多分析功能;最主要的,它免費,既能採集又能分析,不丟包、不棄包。
我們雖然也接觸了很多監控分析設備,但在分析中始終離不開WireShark的輔助,喜歡它的“誠實”,不忽悠、不遺漏,完完全全從原理上去認識數據。
本系列就是要拋開了各種所謂分析“神器”和檢測設備,完全依靠WireShark從通信原理去發現和解密黑客的各種攻擊行爲。當然,僅是交流學習貼,不當之處請各位大神“輕噴”。
0×01 WireShark的常用功能
介紹WireShark的書籍和文章比較多,本文就不獻醜細講了,一起了解一下部分常用的分析功能。
1、抓包捕獲
菜單中選擇Capture,選擇Interface,然後選擇需抓包的網卡。
可以勾選網卡,點擊Start開始抓包。如想連續抓包設置文件大小、定義存放位置、過濾性抓包,點擊Options進行設置。
2、數據過濾
由於抓包是包含網卡所有業務通信數據,看起來比較雜亂,我們可以根據需求在Filter對話框中輸入命令進行過濾。常用過濾包括IP過濾(如:ip.addr==x.x.x.x,ip.src== x.x.x.x,ip.dst== x.x.x.x)、協議過濾(如:HTTP、HTTPS、SMTP、ARP等)、端口過濾(如:tcp.port==21、udp.port==53)、組合過濾(如:ip.addr==x.x.x.x && tcp.port==21、tcp.port==21 or udp.port==53)。更多過濾規則可以在Expression中進行學習查詢。
3、協議統計、IP統計、端口統計
協議統計:在菜單中選擇Statistics,然後選擇Protocol Hierarchy,就可以統計出所在數據包中所含的IP協議、應用層協議。
IP統計:在菜單中選擇Statistics,然後選擇Conversation,就可以統計出所在數據包中所有通信IP地址,包括IPV4和IPV6。
端口統計:同IP統計,點擊TCP可以看到所有TCP會話的IP、端口包括數據包數等信息,且可以根據需求排序、過濾數據。UDP同理。
4、搜索功能
WireShark具備強大的搜索功能,在分析中可快速識別出攻擊指紋。Ctrl+F彈出搜索對話框。
Display Filter:顯示過濾器,用於查找指定協議所對應的幀。
Hex Value:搜索數據中十六進制字符位置。
String:字符串搜索。Packet list:搜索關鍵字匹配的Info所在幀的位置。Packet details:搜索關鍵字匹配的Info所包括數據的位置。Packet bytes:搜索關鍵字匹配的內容位置。
5、Follow TCP Stream
對於TCP協議,可提取一次會話的TCP流進行分析。點擊某幀TCP數據,右鍵選擇Follow TCP Stream,就可以看到本次會話的文本信息,還具備搜索、另存等功能。
6、HTTP頭部分析
對於HTTP協議,WireShark可以提取其URL地址信息。
在菜單中選擇Statistics,選擇HTTP,然後選擇Packet Counter(可以過濾IP),就可以統計出HTTP會話中請求、應答包數量。
在菜單中選擇Statistics,選擇HTTP,然後選擇Requests(可以過濾IP),就可以統計出HTTP會話中Request的域名,包括子域名。
在菜單中選擇Statistics,選擇HTTP,然後選擇Load Distribution(可以過濾IP),就可以統計出HTTP會話的IP、域名分佈情況,包括返回值。
0×02 WireShark分析攻擊行爲步驟
利用WireShark分析攻擊行爲數據,首先得具備一定的網絡協議
知識,熟悉常見協議,對協議進行分層(最好分七層)識別分析。(如果不熟悉也沒關係,現學現用也足夠)。然後,需熟悉常見的攻擊行爲步驟、意圖等等。畫了張圖,不太完善,僅作參考。
0×03 後續文章初步設計
對於後續文章內容,初步設計WireShark黑客發現之旅--暴力破解、端口掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、數據庫攻擊、郵件系統攻擊、基於Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。