分析攻击流量样本

最新推荐文章于 2025-06-29 15:20:39 发布
最新推荐文章于 2025-06-29 15:20:39 发布
阅读量6.5k 收藏 12
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: 蜜罐 流量分析 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/I_am_going/article/details/53306858
本文分析了.pcap格式的攻击流量样本,通过Wireshark发现攻击者利用CVE-2003-0533(MS04-011)漏洞对目标主机进行攻击。攻击者通过构造恶意参数调用DsRoleUpgradeDownlevelServer(),在受害者主机上创建shell并下载执行蠕虫病毒ssms.exe。攻击过程快速自动化,仅耗时16秒,且受害者可能是一个蜜罐。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

此次分析样本是.pcap格式,共348帧。主要利用的分析工具是wireshark以及它的命令行版本tshark。

前期分析

首先通过观察,发现只涉及到两个ip,在本文中称98.114.205.102为主机A,192.150.11.111为主机B。
如下图,A主动向B请求TCP连接,并完成了三次握手。
三次握手
虽然不能断定,但很有可能A为攻击者,B为受害者,A攻击的是B的主机系统。

理论上说这种类型的攻击一定利用了已知系统漏洞或者0day,所以接下来的目标是找到A究竟利用了什么漏洞对B实施了攻击。

于是观察有没有能够暴露更多信息的数据帧。如下图,可以看到在第33帧有一个函数被调用。这非常可疑。网上搜一下这个API,很快发现它曾经曝出过问题,编号CVE-2003-0533,winodws上大名鼎鼎的“冲击波”利用的就是这个漏洞,微软给的编号是MS04-011。
函数调用

该漏洞是一个远程缓冲区溢出,DCE/RPC请求可以从远程主机发送到本地机的LSASS.EXE进程(Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL))。LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。攻击LSASS的漏洞的基本办法,就是构造长参数DomainName,通过DsRoleUpgradeDownlevelServer()这个API,最终造成溢出和返回shell。

流程分析

已知B被利用的是哪个漏洞,再分析整个流程就简单了。

整个攻击过程中包含5个TCP会话,按会话顺序描述流量样本的攻击流程。
(1)首先,A扫描B 445/tcp端口,确认该端口是否开

最低0.47元/天 解锁文章

200万优质内容无限畅学
一次mirai僵尸网络攻击的流量分析
MSB_WLAQ的博客
09-28 658
表哥们好,今天又是看设备的一天,之前看到木马的状态码是404 not found就不看了,告警每天20W,就俺们两个人,想着还是要好好深入分析的原则,就有了mirai僵尸网络的流量分析一文,感兴趣的小伙伴,可以继续跟下去。(因为文章比较简单) 分析 分析过程: 1.攻击ip为国外ip. 1.看到一个攻击主机一直在对多个主机进行攻击。 2.请求路径为,/cgi-bin/mainfunction.cg。 3.useragent为XTC,是mirai的标志之一。 4.请求体,可以看到这里有linux执行命令,
网络攻击与防御之网络流量分析实验
qq_45722813的博客
03-24 2893
实验一 网络流量分析 本次实验所使用到的主要软件包括:虚拟机(VMware/VirtualBox), 流量分析软件(Wireshark, Zeek或科来网络数据包分析软件),网络扫描工具nmap,浏览器(Chrome或IE)。 每个题目给出主要操作步骤、截图和分析。 一. 虚拟机环境设置与网络配置 使用VMware或VirtualBox创建Linux虚拟机(Ubuntu或 Centos,推荐Ubuntu 18.04); 1.打开VMware,创建新的虚拟机 2.选择使用【典型】,下一步 3.选择【稍后
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 8942
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
有关于USB流量分析(鼠标流量
最新发布
2401_88592969的博客
06-29 954
1,首先打开附件是两个,一个是压缩包,一个是后缀为.ftm的。压缩包先不管,我把.ftm的文件放到随波逐流中,用binwalk提取出来key.pcap,放入Wireshark中可以知道是鼠标流量。raise FileNotFoundError(f"tshark 未找到: {tshark_path}")扫出来是ci{v3erf_0tygidv2_fc0},结合上面的key{xinan}.先是维吉尼亚,再是栅栏解密。"""直接调用 tshark 解析 USB 键盘流量"""# 构建 tshark 命令。
Wireshark之攻击流量分析
qq_52486507的博客
03-10 4526
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
流量分析攻击及防范
weixin_33853827的博客
09-19 1200
这几天读了2篇关于流量分析攻击的文章,写下一些核心思想和主要问题。 情景设定:被攻击者通过SSH、SSL隧道连接到某个代理,通过该代理访问互联网;攻击者可以获得二者之间往来的加密数据包。由于数据包都是通过加密方式发送到某服务器,所以攻击者唯一能知道的就是数据包发送的大小和时间。如何推测出用户正在访问什么网站呢? 核心思想:不同的网站在访问时,链路上往来的数据包的大小是不一样的,例如...
攻击流量分析
2302_76965792的博客
12-09 646
演示一些攻击过程,攻击过程中使用wireshark抓取攻击流量,定位关键字段,打开pikachu靶场。
sql注入攻击流量情况
07-18
sql注入攻击流量情况
流量分析 ICC 2019Dos攻击数据集 文件格式txt,csv
03-24
接下来,可以利用机器学习算法,如支持向量机(SVM)、随机森林或集成学习方法,甚至是深度神经网络,训练分类模型来区分正常流量和DoS攻击流量。对于深度学习,可能涉及卷积神经网络(CNN)或循环神经网络(RNN),...
35.恶意代码攻击溯源及恶意样本分析1
08-03
1. 恶意攻击流程及溯源方法:在业界,恶意代码分析通常从检测到的异常行为开始,通过分析攻击链路,如域名/IP、入侵日志、全流量分析等,定位攻击源。 2. 域名/IP:通过对域名和IP的监控,可以追踪到恶意活动的网络...
Pyhon毕设项目:网络流量异常检测分析
11-05
首先,网络流量异常检测是指利用各种方法识别网络流量中的不正常行为,这些行为可能源自黑客攻击、病毒传播、系统错误或其他非正常活动。有效的异常检测不仅能及时发现并响应网络安全事件,还能帮助企业预防潜在的...
利用Sniffer进行DOS攻击流量分析
08-12
利用Sniffer进行DOS攻击流量分析,亲。太贵了,文档没什么作用。
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
WebScan 扫描工具流量样本
03-26
几种扫描工具的扫描流量样本,burpSuite、awvs等,自己捕获的测试流量~
论文研究-基于流量分析的App-DDoS攻击检测.pdf
07-22
针对当前应用层分布式拒绝服务攻击(App-DDoS)检测方法高度依赖于系统日志, 且检测攻击类型单一的问题, 提出了基于卡尔曼滤波和信息熵的联合检测模型DFM-FA(detection and filtering model against App-DDoS attacks based on flow analysis), 将应用层的行为异常检测映射为网络层的流量异常检测, 最大限度地保证了合法用户的优先正常访问。实验证明, DFM-FA既不依赖于系统日志, 同时又能检测到FTP、DNS等多种App-DDoS攻击。
wireshark多种协议分析样本流量
09-10
该压缩捕获了多种协议和场景的流量包,可以很好地帮助初学者和讲师进行案例分析,该流量的捕获过程十分不容易,包括各种模拟各种场景进行捕获流量
网络安全流量分析
qq_50573282的博客
07-05 3062
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
网络安全——流量分析
热门推荐
W981113的博客
01-14 1万+
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
实训4 网络攻击溯源与流量分析
zlLzH18的博客
05-09 948
syn半链接攻击的特点和危害?SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。SQL注入攻击的一般流程是什么?
流量分析攻击溯源
03-19
### 网络流量分析中的攻击溯源方法与工具 在网络流量分析中,攻击溯源是一项重要的任务,它帮助识别潜在的安全威胁并追溯攻击者的身份和行为模式。以下是常用的攻击溯源方法以及支持这些方法的相关工具。 #### 常见的攻击溯源方法 1. **网络流量回溯分析** 流量回溯分析通过对历史网络流量数据进行深入审查,能够揭示隐藏的行为模式和异常活动[^5]。这种方法特别适用于检测那些在实时监控下未被察觉的低频次或隐蔽型攻击。 2. **攻击特征分析** 对捕获到的数据包进行全面剖析,提取其中包含的信息(如源IP地址、目的端口等),并与已知攻击签名库对比匹配。这种技术有助于快速定位特定类型的攻击向量[^2]。 3. **恶意软件逆向工程** 如果怀疑某次入侵涉及到专门设计用于破坏系统的程序,则需进一步开展针对该类样本的研究工作——即所谓的“反汇编”或者“动态调试”。通过这种方式可以获得关于病毒运作机制的第一手资料。 4. **漏洞利用评估** 当确认某个系统因存在缺陷而遭到外部势力操控时,有必要仔细考察相应弱点的具体表现形式及其可能造成的后果。这一步骤不仅有利于修补当前存在的安全隐患,还能预防同类事件再次发生。 5. **日志关联分析** 结合来自防火墙、IDS/IPS设备以及其他基础设施组件的日志记录,构建完整的事件链条图谱。借助先进的算法模型处理海量异构信息资源,从而实现精准的时间序列排列及因果关系推断[^4]。 #### 实施攻击溯源所需的主要工具 为了高效完成上述各项操作流程,业界普遍采用了一系列专用软硬件设施: - **Wireshark**: 这是一款广泛使用的开源协议分析器,允许技术人员直观查看局域网内的通信细节,并导出感兴趣的片段供后续研究之用。 ```bash tshark -i eth0 -f "tcp port 80" -w output.pcap ``` - **Bro/Zeek**: 自动化程度较高的网络安全监视框架之一,在线运行期间可自动生成结构化的JSON文件描述观察所得现象;事后亦能加载存储介质上的原始二进制流重新计算指标统计值。 ```bash zeek -r input.pcap local.zeek ``` - **Splunk Enterprise Security (SES)**: 商业级大数据平台解决方案提供商推出的产品系列成员,擅长于聚合多源头输入材料形成统一视图界面展示给最终用户审阅决策参考依据。 - **Volatility Framework**: 主要面向内存取证方向开发而成的应用套件集合体,能够在不重启机器的前提下获取操作系统内部状态快照进而挖掘更多线索证据链路节点位置分布情况说明文档链接如下所示: https://github.com/volatilityfoundation/volatility/wiki/AlienVault%20-%20Memory%20Forensics 综上所述,基于网络流量实施有效的攻击追查需要综合运用多种策略技巧配合强大功能特性各异的专业级辅助装备共同协作才能达到理想效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值