一、基本信息统计工具
1)捕获文件属性(Summary)
-
File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息
-
Time:获悉抓包的开始、结束和持续时间
-
Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息
-
Display:剩下的是汇总统计信息,数据包的总数、数量以及占比情况、网速等
2)协议分级(Protocol Hierarchy)
-
Protocol:数据包所归属的协议名称
-
% Packets:抓包文件中所含数据包个数在每一种协议类型中的占比情况
-
Packets:每一种协议类型数据包的个数
-
% Bytes:抓包文件中所含数据包字节数在每一种协议类型中的占比情况
-
Bytes:每一种协议类型数据包的字节数
-
MBit/s:某种协议类型的数据包在抓包时段内的传输速率
-
End Packets:隶属于该协议类型的数据包的纯粹数量,例如TCP,纯粹指的是TCP头部之后没有高层协议头部(HTTP头等)
-
End Bytes:隶属于该协议类型的数据包的纯粹字节数
-
End Bits/s:隶属于该协议类型的数据包在抓包时段内的纯粹传输速率
3)对话(Conversation)
一次对话是指发生于一对特定端点(主机、服务器或网络设备)之间的所有流量。
TCP或UDP对话包括了4个特征(源、目IP地址和源、目端口号)全都匹配的数据包。
-
Ethernet标签:不同MAC地址的主机之间的交流
-
IPv4标签:不同IPv4地址的主机之间的沟通
-
TCP或UDP:不同IPv4地址的主机之间建立的各种TCP或UDP,可以发现某台主机是否打开过多连接,是否与稀奇古怪的端口号建立了连接。
4)端点(Endpoints)
此工具用来观察第二、三、四层端点(Ethernet端点、IP端点、TCP/UDP端点)有关的统计信息。
粗看与对话窗口类似,但对话窗口中会有Address A与Address B两个,而端点中只有一个。
5)HTTP统计信息
- 分组计数器(Packet Counter):展示HTTP数据包的总数,请求数据包和响应数据包的数量。
-
请求(Requests):主机请求访问Web站点的分布情况,以及所访问的Web站点的具体资源。
-
负载分配(Load Distribution):HTTP数据包(请求和响应)访问过哪些站点。
6)IP属性统计信息
-
All Addresses:所有的地址
-
Destinations and Ports:目的地址和端口号
-
IP Protocol Types:IP协议类型
-
Source and Destination Addresses:源和目的地址
二、高级信息统计工具——IO图表(IO Graphs)
1)IO图表(IO Graphs)
-
样式:Line(线)、Impulse(脉冲)、Fbar(粗线)、Dot(点)
-
X轴配置:
间隔(Tick Interval)取值范围0.001秒~10分钟
一天时钟(View as time of day)勾选后会按一天当中的具体时刻来显示
- Y轴配置:
速率单位(Unit):Pickets、Bytes、Bits、Advanced(包括SUM、MAX等)
平滑速率(Smooth):每个计时单位内的平均传输速率
2)IO图表高级配置(Y轴Unit参数Advanced选项)
单位时间:通过选择X轴参数配置区域内的Tick Interval下拉菜单项来指定
-
SUM(*):每个单位时间内实际传输的IP数据包总字节数
-
COUNT FRAMES(*):每个单位时间内发生匹配该条件的数量,例如重传数(tcp.analysis.retransmission)
-
COUNT FIELDS(*):每个单位时间内所传数据包中该字段出现的次数
-
MAX(*):每个单位时间内所传数据包相关参数的最高值,例如距离上一个捕获的包的时间间隔(frame.time_delta)
-
MIN(*):每个单位时间内所传数据包相关参数的最低值
-
AVG(*):每个单位时间内所传数据包相关参数的平均值
-
LOAD(*):生成与响应时间有关的图形
三、高级信息统计工具——TCP流图形(TCP StreamGraph)
1)时间序列(Stevens)
在单位时间内,受监控的TCP流在某个方向所传数据的字节流。
一条连绵不断的斜线就表示正常的文件传输,而斜线时断时续,表示文件传输存在问题;
斜线的角度越大,表示文件的传输速率很高,反之,文件传输缓慢。
2)时间序列(tcptrace)
监控TCP连接的诸多详细信息。
分析与此TCP有关的种种问题,包括TCP确认、TCP重传、以及TCP窗口大小等信息。
上面一条表示TCP接收窗口,当两条曲线之间空间较大的时候,表示接收主机尚有缓存;当近乎重叠的时候,TCP窗口已满(window-full)不能继续传输数据
下面一条表示在单位时间内,受监控的TCP流在某个方向所传数据的字节流(也就是Stevens)
图中每个小竖条(放大后就能看到)表示TCP数据包起始和终止序列号都与纵坐标上的数字相对应。
3)吞吐量(Throughput)
不但能了解TCP连接的吞吐量,而且还能判断TCP连接是否稳定。
统计单位时间内在某一指定方向上传输的数据包的字节数(左边的Y轴);
以此统计出来的吞吐量只是某个方向上传输的应用程序数据(不含IP头与TCP头)的吞吐量,单位为字节/秒(右边的Y轴)。
左边的Y轴就是包中的Len值,对应的是深蓝色的点;右边的Y轴对应的是咖啡色的斜线。
4)往返时间(Round Trip Time)
了解某条TCP连接中特定方向上的所有TCP报文段的往返时间(RTT)
X轴为序列号字段值,Y轴为时间值。
5)窗口尺寸(Window Scaling)
通过统计发送方的接收窗口大小,以此了解特定TCP连接的性能。
当窗口变小时,相关应用程序的吞吐量会相应降低,窗口的大小完全受控于建立连接的两个端点(服务器和客户端),大小的变化与网络性能无关。
四、专家信息(Expert Info)工具
窗口由Errors、Warnings、Notes、Chats等构成。
1)Errors
数据包中有严重错误。
校验和错误:Ethernet及IP校验和错误。
伪造的数据包:一般涉及具体的应用层协议。
2)Warnings
数据包中有一般性问题。
与TCP窗口有关的事件TCP window full或TCP zero window,一般是连接设备忙不过来所致。
与TCP报文段丢失或失序有关的事件,丢失是因为未抓全某个TCP数据流的所有TCP报文段;失序是因其感知到了TCP报文段未按发出的顺序到达接收主机。
3)Notes
数据包中有可能会引发故障的异常现象,例如TCP重传、重复确认、快速重传等现象。
4)Chats
数据包都符合常规流量的特征,包括SYN、FIN、RST以及各种状态码的HTTP事件。
网络安全学习路线&学习资源
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
