本文分析了黑客入侵工控设备后的扫描行为,通过Wireshark解析日志,识别出第4次扫描的数据包编号为155990,采用ICMP协议流量作为分析依据。
题目:
有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}
1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng
2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。
开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:
想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。
于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:
那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}
发现是对的,纯粹运气啊,我也不知道为啥。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
