01.介紹

網(wǎng)絡(luò)安全流量分析領(lǐng)域中，wireshark和csnas是取證、安全分析的好工具，包括很多研究安全規(guī)則、APT及木馬流量特征的小伙伴，也會(huì)常用到兩個(gè)工具。這兩款流量嗅探、分析軟件，今天先介紹wireshark作為安全分析工具的基本使用。

02.基本使用

?Wireshark對(duì)pcap包分析過(guò)程中常用的功能基本上包括：數(shù)據(jù)包篩選、數(shù)據(jù)包搜索、流還原、流量提取等。本次的演示找到了CTF相關(guān)pcap包，如感興趣可自己下載分析：

鏈接：https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA??提取碼：k0y4?

2.1 數(shù)據(jù)包篩選

海量數(shù)據(jù)中要想能察覺(jué)到可疑通信，找到攻擊的蛛絲馬跡，那就需要對(duì)一些端口、協(xié)議、請(qǐng)求方式和攻擊特征等進(jìn)行過(guò)濾，不斷縮小可疑流量范圍，才能更好進(jìn)一步分析達(dá)到最終溯源的目的。

2.1.1 篩選IP

※流量過(guò)濾中可以使用過(guò)濾可疑IP或排除一些無(wú)用信息，減少無(wú)關(guān)流量包的干擾，更直接定位目標(biāo)。

>篩選特定IP，過(guò)濾出所有與192.168.94.233相關(guān)的流量

語(yǔ)法：ip.addr==192.168.94.233

>篩選源IP，過(guò)濾出所有源ip都為192.168.94.233

語(yǔ)法：ip.src==192.168.94.233

同樣過(guò)濾目的IP語(yǔ)法：ip.dst==192.168.94.233

且關(guān)系使用&&：ip.dst==192.168.94.233&& ip.dst==192.168.32.189

或關(guān)系使用||：ip.dst==192.168.94.233||ip.dst==192.168.32.189

非關(guān)系：!=

2.1.2HTTP模式過(guò)濾

※在web攻擊流量分析中，http顯得尤為重要，根據(jù)攻擊特點(diǎn)過(guò)濾http流量能更準(zhǔn)確定位攻擊；如常見(jiàn)上傳webshell使用POST請(qǐng)求、指定URI可疑發(fā)現(xiàn)一些上傳路徑或者后臺(tái)等，另也可以從包含的一些關(guān)鍵特征判斷使用的工具、木馬、腳本等。

http請(qǐng)求方式為GET語(yǔ)法：http.request.method==”GET”

http請(qǐng)求方式為POST語(yǔ)法：http.request.method==”POST”

請(qǐng)求的URI為/login.php語(yǔ)法：http.request.uri==”/login.php”

請(qǐng)求的http中包含sqlmap的語(yǔ)法：http contains “sqlmap”

請(qǐng)求方式為GET且請(qǐng)求中包含UA信息：http.request.method==”GET” && http contain “User-Agent”

?2.1.3 mac地址篩選:

※這部分過(guò)濾和IP過(guò)濾作用一樣

?eth.dst ==A0:00:00:04:C5:84 篩選目標(biāo)mac地址

?eth.addr==A0:00:00:04:C5:84 篩選MAC地址

?2.1.4??端口篩選：

※通過(guò)常見(jiàn)端口如445、1433、3306等可以定位相關(guān)特殊的服務(wù)。

tcp.dstport == 80 ?篩選tcp協(xié)議的目標(biāo)端口為80?的流量包

tcp.srcport == 80 ?篩選tcp協(xié)議的源端口為80?的流量包

udp.srcport == 80 ?篩選udp協(xié)議的源端口為80?的流量包

2.1.5 ?協(xié)議篩選：

※協(xié)議過(guò)濾可以根據(jù)相關(guān)服務(wù)使用的協(xié)議類型進(jìn)行

tcp? 篩選協(xié)議為tcp的流量包

udp 篩選協(xié)議為udp的流量包

arp/icmp/http/ftp/dns/ip? 篩選協(xié)議為arp/icmp/http/ftp/dns/ip的流量包

?2.1.6??包長(zhǎng)度篩選：

※包長(zhǎng)度、大小可以利用判斷一些木馬特征，掃描特征、ddos等

udp.length ==20? ?篩選長(zhǎng)度為20的udp流量包

tcp.len >=20? 篩選長(zhǎng)度大于20的tcp流量包

ip.len ==20? 篩選長(zhǎng)度為20的IP流量包

frame.len ==20 篩選長(zhǎng)度為20的整個(gè)流量包

2.2 數(shù)據(jù)流分析

使用wireshark進(jìn)行威脅流量發(fā)現(xiàn)時(shí)候，除了判斷包特征，訪問(wèn)日志，證書等，數(shù)據(jù)量是較為直觀發(fā)現(xiàn)異常行為的方式，我們常會(huì)查看一些HTTP流、TCP流和UDP流進(jìn)行流量分析，wireshark中常用方法：

這里我就用找一個(gè)后臺(tái)登入的http流做展示

1)找疑似后臺(tái)登入點(diǎn)：http contains login

2）判斷登入是否成功，這時(shí)可以查看http流的響應(yīng)情況進(jìn)行分析：”右鍵-追蹤流-HTTP流”

?

可以根據(jù)數(shù)據(jù)流的請(qǐng)求頭、請(qǐng)求體判斷源IP的一些信息，這個(gè)有助于進(jìn)行追蹤；響應(yīng)頭、響應(yīng)體可以作為本次請(qǐng)求是否成功，達(dá)到的響應(yīng)效果的判斷。

HTTP流之外還會(huì)有TCP流、UDP流、HTTPS流等，操作的方法是一樣的；

2.3文件還原

※攻擊流量中少不了惡意腳本，樣本文件，這時(shí)能對(duì)樣本提取是對(duì)威脅攻擊的進(jìn)一步分析十分重要。而使用wireshark就可以做到簡(jiǎn)單文件還原，當(dāng)然如果你需要對(duì)批量文件還原，可能還需要一些自己研究的工具進(jìn)行還原，下面說(shuō)一下wireshark怎么進(jìn)行還原：

1）“文件-導(dǎo)出對(duì)象”這樣可以選擇導(dǎo)出的協(xié)議類型數(shù)據(jù)，選擇http后會(huì)出現(xiàn)數(shù)據(jù)包所有的關(guān)于http協(xié)議的數(shù)據(jù)包；在所有http數(shù)據(jù)流中的文件，選中進(jìn)行save進(jìn)行；其他協(xié)議相關(guān)文件也一樣。

?

2）分組字節(jié)流還原

對(duì)于特定的字節(jié)流可以“右鍵-導(dǎo)出分組字節(jié)流”最后保存就ok了

?

總結(jié)：wireshark比較適合對(duì)于小流量包威脅數(shù)據(jù)進(jìn)行分析，CTF賽事也會(huì)常用wireshark進(jìn)行分析；作為網(wǎng)絡(luò)流量安全分析的好工具，功能其實(shí)也很多，本次分享的只是一些常見(jiàn)功能，如果對(duì)網(wǎng)絡(luò)流量安全分析感興趣，可以多去使用wireshark研究攻擊數(shù)據(jù)包特征，可以先從簡(jiǎn)單web攻擊數(shù)據(jù)包開始，再去看看一些竊密、木馬、APT相關(guān)數(shù)據(jù)包，后面我也會(huì)慢慢分享一些關(guān)于分析威脅流量包的文章，也是記錄自己的一個(gè)學(xué)習(xí)過(guò)程。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-655237.html

到了這里，關(guān)于wireshark網(wǎng)絡(luò)安全流量分析基礎(chǔ)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！