恶意流量分析训练十一

最新推荐文章于 2024-06-16 18:09:47 发布
原创 最新推荐文章于 2024-06-16 18:09:47 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过分析一起特定的Bittorrent流量警报,深入探讨了如何使用网络取证技术来识别、定位并理解潜在的非法文件共享行为。文章详细介绍了如何从IP地址追踪到具体的设备信息,包括MAC地址、主机名、用户账号、操作系统版本,以及具体共享的文件内容和使用的客户端软件。同时,还展示了如何确定流量活动时间,并解析了流量中涉及的多个关键信息,如文件名、客户端类型和被做种的文件。

通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。

 

 

背景:

你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。

我们需要分析分析这个数据包,解答下列问题:

10.0.0.201的mac地址是多少

10.0.0.201的host name是什么

10.0.0.201的user  account name是什么

10.0.0.201的系统版本

10.0.0.201de torrent活动发生的时间

10.0.0.201下载了什么torrent文件

10.0.0.201使用了那个torrent客户端

10.0.0.201上的torrent客户端分享了哪个文件(做种)?

 

首先还是过滤出nbns的流量,来获取hostname

当然,也可以使用dhcp

接下来要找到user account name,自然是通过kerberos协议

kerberos.CNameString中CNameString代表windows的host name和user account name,那么怎么区分这两个呢?

我们先把它过滤出来再看

按照上图的方式依次展开,然后就能看到CNameString的值,右键,将其应用为列

最低0.47元/天 解锁文章
恶意流量分析训练
Yale的博客
02-05 2794
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析(一)
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
恶意流量分析训练
Yale的博客
02-05 2417
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析基础学习
weixin_33826268的博客
11-14 1074
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量分析训练
Yale的博客
02-05 1030
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
恶意流量分析训练
Yale的博客
02-04 6096
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2034
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
恶意流量可能采用加密、混淆或变形技术,使得分析工具难以识别
最新发布
图幻未来的博客
06-16 1225
根据网络安全领域的通用定义,恶意流量是指未经授权的、具有破坏性或潜在破坏性的计算机通信数据流。恶意流量主要包括病毒、蠕虫、特洛伊木马等恶意软件传播产生的流量,以及黑客发起的DDoS攻击、中间人攻击等网络攻击行为所产生的流量。
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 7421
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
一个分析torrent文件的COM
07-26
一个分析torrent文件的COM类,以前收集的,用得着就下回去吧。。
Maltrail 一个恶意流量检测系统-python
06-18
Malicious traffic detection system 内容 介绍 架构 快速入门 管理员指南 Sensor Server 用户指南 报告界面 真实案例 海量扫描 匿名攻击者 服务攻击者 恶意软件 可疑域名查找 可疑ipinfo请求 可疑直接文件下载 可疑HTTP请求 端口扫描 DNS资源耗尽 数据泄露 误报 要求 最佳实践( s) License Developers Presentations Blacklist 谢谢第三方集成 介绍 Maltrail 是一个恶意流量检测系统,利用包含恶意和/或一般可疑路径的公开(黑)名单,以及从各种 AV 报告和自定义用户定义的静态路径编译列表,其中 trail 可以是域名(例如用于 Banjori 恶意软件的 zvpprsensinaix.com)、URL(例如用于已知恶意可执行文件的 hXXp://109.162.38.120/harsh02.exe)、IP 地址(例如用于已知攻击者的 185.130.5.231) ) 或 HTTP User-Agent 标头值(例如用于自动 SQL 的 sqlmap 注入和数据库接管工具)。
maltrail:恶意流量检测系统
02-05
内容 介绍 Maltrail是一种恶意流量检测系统,利用包含恶意和/或一般可疑路径的公共可用(黑)列表以及根据各种AV报告和自定义用户定义列表编译的静态路径,其中路径可以是域名中的任何内容(例如zvpprsensinaix.com针对恶意软件),URL(例如,对于已知的恶意为hXXp://109.162.38.120/harsh02.exe ),IP地址(例如,对于已知的攻击者为185.130.5.231 )或HTTP User-Agent标头值(例如,针对自动的sqlmap SQL注入和数据库接管工具)。 此外,它使用(可选)高级启发式机制来帮助发现未知威胁(例如新恶意软件)。 正在使用以
攻防对抗中的加密恶意流量分析技术
weixin_70923796的博客
07-04 689
摘 要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数
杂项题的基本解题思路——4、流量取证技术
_Co1a
10-31 2111
流量包文件分析 流量包就是说我向你传递的时候,把你传递过程中的数据抓取下来,保存成一个文件 流量取证技术就是说:题目会给你一个流量包,你要在流量包里面找到相应的一些文件(有时候flag值就藏在流量包的某一个位置) ①wirkshark工具 查看自己的电脑有没有安装wireshark:win+R——》输入wireshark看能不能打开 kaliLinux自带了wireshark 利用wirkshark工具的过滤器功能 常用的过滤命令 1、 过滤IP 如过滤源IP或者目的IP ip.src eq x.x
极验创始人吴渊:恶意流量威胁新趋势,揭秘网络黑产3大核心本质
优快云云计算
01-26 5260
记者 | 邓晓娟出品 |优快云云计算(ID:优快云cloud)天下没有免费的午餐,更没有免费的流量。以电商为例,最疯狂的时候,某电商平台单个获客成本接近400元。作为互联网的稀缺资源...
如何区分恶意网络流量
weixin_45891757的博客
02-23 1006
如何区分恶意网络流量
Python中的Maltrail: 详细解读恶意流量检测系统与其实战应用
qq_38334677的博客
09-24 1215
无论你是一个网络管理员、安全研究员,还是只是一个关心网络安全的用户,Maltrail都是一个值得探索和使用的工具。例如,一个恶意软件可能使用一个特定的域名,如"zvpprsensinaix.com",Maltrail会检测到与这些已知域名相关的任何活动。例如,即使一个新的恶意软件版本尚未被列入黑名单,但如果它展示了与已知恶意软件相似的行为(如快速扫描网络端口或尝试多次登录),Maltrail也会识别并警告你。但是,它们的来源更为多样,可能包括自定义的用户定义列表,或者从各种AV报告中收集的信息。
Maltrail 使用教程
B0rn_T0_W1n的博客
09-25 4261
Maltrail——最好的 vps 防护工具。上篇对官方文档进行了翻译,这篇介绍如何在 vps (Debian 8.x)快速安装使用。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括以下几个步骤: 1. 数据采集:通过网络监控设备、IDS/IPS、防火墙等安全设备,收集网络流量数据。 2. 数据清洗和预处理:对采集到的数据进行清洗和预处理,去除不相关的数据和异常数据,以提高建模的准确性。 3. 特征提取:从清洗和预处理后的数据中提取关键特征,例如源IP地址、目标IP地址、端口号、协议类型等等。 4. 模型训练:利用机器学习算法对提取的特征进行训练,构建恶意流量分类模型。 5. 模型评估和优化:对训练好的模型进行评估和优化,以提高模型的准确性和鲁棒性。 6. 部署和应用:将训练好的模型部署到实际网络中,实时监测网络流量并识别恶意流量。 总的来说,恶意流量分析大数据建模是一种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值