流量分析实战-反弹和通信

本文详细描述了一次流量分析的过程,涉及两台外连主机对内网主机的frp反弹攻击。通过流量回溯,发现了内网主机与特定外网IP的频繁通信,特别是7070端口和4500/500端口的数据交互。分析显示,外连IP可能执行了命令并接收返回数据,初步判断为恶意行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻击场景:

两台外连主机A和B,分别对内网主机C进行frp反弹执行命令与执行命令返回数据的接收

分析过程:

因为种种原因,当时没法写现在写出来的记忆比较模糊,到最后还是有很多的疑问没有解决

还有很多不确定没法佐证

首先接到项目同事发来的可疑ip,这个ip对我们的甲方进行了一系列攻击,并在特定时间平台爆出存在frp反弹的告警,需要我通过流量进行威胁狩猎,佐证是否攻击成功

通过科莱的回溯分析,首先在互联网区域进行回溯,查看此ip在互联网区域的行为

因为是在hw,所以红队一般不会使用带有标记的ip,所以在微步社区并没有判断为恶意ip

查看120.133.61.244在某一时间段内(这个时间段是我随意选的,首选选一个短时间分析,然后再扩大分析的时间段)的TCP和udp流量,120.133.61.24

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值