流量分析实战-反弹和通信

最新推荐文章于 2025-09-25 00:18:56 发布
原创 最新推荐文章于 2025-09-25 00:18:56 发布 · 914 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #p2p #网络协议

本文详细描述了一次流量分析的过程,涉及两台外连主机对内网主机的frp反弹攻击。通过流量回溯,发现了内网主机与特定外网IP的频繁通信,特别是7070端口和4500/500端口的数据交互。分析显示,外连IP可能执行了命令并接收返回数据,初步判断为恶意行为。

攻击场景:

两台外连主机A和B,分别对内网主机C进行frp反弹执行命令与执行命令返回数据的接收

分析过程:

因为种种原因,当时没法写现在写出来的记忆比较模糊,到最后还是有很多的疑问没有解决

还有很多不确定没法佐证

首先接到项目同事发来的可疑ip,这个ip对我们的甲方进行了一系列攻击,并在特定时间平台爆出存在frp反弹的告警,需要我通过流量进行威胁狩猎,佐证是否攻击成功

通过科莱的回溯分析,首先在互联网区域进行回溯,查看此ip在互联网区域的行为

因为是在hw,所以红队一般不会使用带有标记的ip,所以在微步社区并没有判断为恶意ip

查看120.133.61.244在某一时间段内(这个时间段是我随意选的,首选选一个短时间分析,然后再扩大分析的时间段)的TCP和udp流量,120.133.61.24

最低0.47元/天 解锁文章
ArBitrarilyR
关注
Wireshark 网络流量分析实战
悦分享
01-03 1098
如果目标的MAC地址是未知的,则这个传输设备会首先在它的缓存中查找这个地址,如果没有找到,那么这个地址就需要在网络上进行额外的通信来进行解析了。在复杂的网络中,可能包含了成千上万的局域网,而这些局域网则是由世界各地成千上万的路由器连接起来的。在数据包细节窗口展开ICMPv6部分,显示这是ICMP 136类型的包,由2001:db8:1:2::1000回复至2001:db8:1:2::1003,并且包含着2001:db8:1:2::1000的MAC地址00:0c:29:1f:a7:55。
[网络安全自学篇] 八十二.WHUCTF之隐写逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
热门推荐
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬师傅们(尤其出题解题的老师们)~
流量分析实战(1⃣️)_2014_11_16
TKMoma
06-15 1916
1⃣️、概述         本文材料来源于Malware-Traffic,此次分析的数据包目前网上已有分析文章wangtiankuo大佬以及作者本身写的Writeup。但笔者认为之前关于此数据包的分析文章写的过于简单,很多部分都是一笔带过直接公布答案,对初学者不是很友好。因此才有了本篇文章,本篇文章以一个陌生数据包...
frp监控与告警系统搭建:实时掌握服务运行状态
最新发布
gitblog_00936的博客
09-25 358
你是否曾因frp服务突然中断而影响业务?是否想实时了解内网穿透的流量变化?本文将带你从零构建frp全链路监控告警体系,通过Prometheus+Grafana实现可视化监控,搭配简单脚本完成异常告警,让你轻松掌控服务状态。 ## 监控体系架构 frp监控系统主要包含三个核心组件: - **数据采集层**:frps内置Prometheus指标暴露 - **数据存储与可视化层**:Promethe...
流量分析实战
qq_61412565的博客
09-05 496
第一:查域内存活多少主机,WK的统计然后会话然后按IPV4 address A排列。第二:查哪台主机的系统是UBANTU这个一般是利用用户访问网页时HTTP请求包里的user agent信息,这里一般会泄露信息。所以过滤条件写http.request就是找到所有http请求的包,IP协议里包含这个系统名的,然后筛选出来追踪流就行。第三:查看某一个IP是什么类型的主机。
网站实战分析之流量分析
weixin_30699831的博客
05-30 182
本篇是“流量分析”的个人读书笔记,推荐书《网站实战分析》,作者是王彦平,写的实在,通篇干货,没有废话。 网站流量来源渠道有:直接访问,推荐流量,搜索引擎流量。 网站流量具体怎么分析这节不说了,因为这个是王彦平作者的心血,大家还是买书吧,讲的很好。 常见引起流量变化的原因: 1、引荐网站自身流量变化 2、引荐链接形式变化 3、引荐链接所在的频道及页面变化 4、文字...
流量分析总结(实战HTTP流量分、Webshell混淆流量分析、TLS流量分析、[INSHack2019]Passthru)
晓梦林的博客
12-17 2010
webshell 是进行网站攻击的一种恶意攻击脚本环境,属于加密流量,局部字符串会被加密(使用Base64编码),对于加密的webshell,我们一开始可以不必对Base64等编码后的请求内容进行分析,可以看其相应的结果大致知道该webshell的作用。针对TLS流量分析题,我们可以通过某些方法得到TLS握手过程中协商的加密方法、密钥、随机数等信息,将上述导入Wireshark,即可完成对HTTPS流量的解密。其实http是明文传输数据,通过上述“追踪流”的方式,可以直接看到明文内容。
RS-485多点通信实现秘籍:半双工控制与冲突避免的核心技术解析
![串口通信实验基础教程](https://img-blog.csdnimg.cn/20200426193946791.png?x-oss-process=image/watermark,type_ZmFuZ3poZW...RS-485是一种广泛应用于工业现场的串行通信标准,基于差分信号传输(A/B线电压差)实现
反弹Shell技术解析
2301_78919866的博客
04-21 843
与普通Shell(攻击者主动连接目标)不同,反弹Shell要求目标主机。:可与C2服务器(Command & Control)建立加密信道。:支持TCP/UDP/ICMP/HTTP等多种协议封装。# 带加密的反弹Shell(需双方安装socat):使用常用服务端口(53/80/443)# UDP传输(绕过TCP监控)# iptables限制出站。# 使用AIDE监控系统文件。# 加密通信(需生成证书)# 带SSL加密的版本。// 带过滤绕过的版本。
冰蝎工具使用与流量分析及内存马注入技术
本文围绕“冰蝎工具使用与流量分析”展开,结合项目源码深入剖析了该工具的实际应用、通信机制、流量特征以及高级功能如反弹Shell内存马注入等技术细节,具有极高的实战价值技术深度。 首先,从标题“冰蝎工具...
通信流量分析
qq_44704184的博客
06-11 1459
wireshark流量分析
Frp改造计划项目_一个针对frp内网穿透工具的深度定制化项目通过修改TLS握手流量特征配置文件嵌入源码的方式实现流量伪装配置隐藏包含端口随机化检测代理服务名称混淆功能.zip
08-21
Frp改造计划项目_一个针对frp内网穿透工具的深度定制化项目通过修改TLS握手流量特征配置文件嵌入源码的方式实现流量伪装配置隐藏包含端口随机化检测代理服务名称混淆功能.zip
常规web流量分析总结及例题(普通http流量,http传输文件流量,https加密流量,视频流)
ewii12567的博客
04-10 1427
流量分析流量分析在HVV中的作用 在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析,一般是使用态势感知,全流量分析,防火墙等安全设备来捕获流量,并且对其进行流量分析,我们需要掌握流量特征分 析的方法详细的流量如下Sql 报错Wireshark介绍 Wireshark(前称Ethereal)是一个网络封包分析软件。1 网站流量的趋势能够预知网站的发展前景流量高的网站说明受用户的欢迎。而且,网站流量的变化直接反应网站发展的趋势,是前进,还是快速前进,还是下降,还是快速下降,或者处于平稳期。
流量映射端口反弹
niqiu320的博客
05-26 1010
实验1:LCX端口转发 正向转发 内网主机执行:lcx.exe –slave 公网主机IP 公网主机端口 内网主机IP 内网主机端口 外网主机执行:Lcx.exe –listen 公网主机端口1 公网主机端口2 反向转发 外网主机执行:Lcx.exe -tran 53 目标主机IP 3389 试验二:PORTMAP端口转发 正向转发 内网主机执行:./portmap -m 3 -h1 127.0.0.1 -p1 22 -h2 公网主机ip -p2 6666 外网主机执行:./por
流量映射端口反弹(lcx,ew)
wjq18827615690的博客
01-31 890
转载自西梅哥的有道云:https://note.youdao.com/ynoteshare1/index.html?id=a6bf797cce0b6087cb78b44818dca69f&type=note 内网应用 一、端口转发工具: 1.LCX(支持双系统) A、window(LCX) 上传一些内网主机探测的工具 ms17010(适合08,07) 1.首先安装lcx(正向连接) 在内网主机:转发:lcx.exe–slave公网主机ip公网主机端口内网主机ip内网...
网络流量分析
S0linteeH's Blog
10-08 2478
想要捕获网络流量,在传统物理环境中,一般可以通过路由器、交换机镜像与分光器获得,或者通过一些硬件防护设备(如防火墙、IPS、UTM 等)获取。在虚拟化或者云环境中,则需要使用流量采集工具。流量采集完成后,就需要对采集来的流量进行分析。一般情况下,我们会使用Wireshark、Sniffer、Tcpdump等软件进行分析。但由于内存、存储、网卡与性能的限制,采用这些分析软件无法满足万兆业务链的网络流量分析需求,它们更适合于小流量的深度分析场景。
【渗透测试】反弹 Shell 技术详解(二)
一个偶尔更新,有点神经质的开发人员,专注于网络安全和人工智能应用领域。
03-13 1085
通过伪终端中转与通过管道等中转原理一样,但通过伪终端中转的检测难度大大提升,单从Shell的标准输入输出来看,正常打开的终端没有什么区别。通过跟踪FD(文件描述符File Descriptor)进程的关系可以检测该数据通道,判断是否为bash进程,获取bash父进程的/proc/[pid]/fd,判断是否有存在fd重定向到pipe或者socket情况。:这类反弹Shell的检测可以通过检测Shell的标准输入、标准输出是否被重定向到Socket或检测一些简单的主机网络日志特征来实现。
frp代理工具流量分析
热爱学习,喜欢折腾!
09-26 1731
frp主要由客户端(frpc)服务端(frps)组成,服务端通常部署在具有公网 IP 的机器上,客户端通常部署在需要穿透的内网服务所在的机器上。内网服务由于没有公网IP,不能被非局域网内的其他用户访问。用户通过访问服务端的 frps,由 frp负责根据请求的端口或其他信息将请求路由到对应的内网机器,从而实现通信
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值