流量分析
WireShark
常用过滤命令:
过滤IP,如源IP或者目标x.x.x.x
ip.src eq x.x.x.x or ip.dst eq x.x.x.x
或者
ip.addr eq x.x.x.x
过滤端口
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
过滤协议
tcp/udp/arp/icmp/http/smtp/ftp/dns/msnms/ip/ssl......
排除tcp包,如!tcp 或者 not tcp
http模式过滤
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:
其他过滤命令参见wireshark过滤规则及使用方法
协议分级
统计 -> 协议分级
根据数据包特征进行筛选:右键->作为过滤器应用 ->选中/非选中
流汇聚
右键 ->追踪流 ->TCP/HTTP流
HTTP流常见关键内容:
1.打开即可看到flag
2.上传/下载文件内容,内容包括文件名、hash值等
3.一句话木马
数据提取
文件->导出对象->HTTP
media type ->右键->导出分组字节流
文件->导出分组字节流
无线wifi流量包
协议分级发现只有wireless LAN协议,很可能是WPA或者WEP加密的无线数据包
aircrack-ng
Linux下用aircrack-ng检查cap包
aircrack-ng xxx.cap -w 字典
USB流量
usb协议通常在lefrover capture date中
略