流量分析基础篇

 

流量分析

1.流量分析是什么？

　　网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

　　CTF比赛中，通常比赛中会提供一个包含流量数据的 PCAP 文件，进行分析。

2.数据包分析

• 总体把握

–       协议分级

–       端点统计

• 过滤赛选

–       过滤语法

–       Host，Protocol特征值

• 发现异常

–       特殊字符串

–       协议某字段

• 数据提取

–       字符串取

–       文件提取

3.工欲善其事，必先利其器。

• -------wireshark
• -------tcpdump
• -------RawCap

• 一般情况下，非HTTP协议的网络分析，在服务器端用tcpdump比较多，在客户端用wireshark比较多，两个抓包软件的语法是一样的。

4.宝刀初现

• Wireshark捕获任何类型的网络数据包。
• 同时wireshark作为一个开源项目，来自全世界的开发者不断的优化wireshark
• wireshark是用C语言进行编写的。C语言的好处是直接操作内存，效率高https://wizardforcel.gitbooks.io/wireshark-manual/content/（中文使用文档）

5.宝刀长这个样子

6.这个包到底有多少协议

• Protocol Hierarchy 选项

–     Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议

7.到底谁和谁对话

• Conversations选项

　　　　Statistics选项中的Conversations选项中包含了谁和谁进行了通信

　　　　　　事不过三，其余的大家自己研究。

统统过滤

　　字符串过滤：

　　　　

常用过滤：

• 过滤ip，如源IP或者目标x.x.x.x：

–     ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

• 过滤端口：

–     tcp.port eq(等于) 80 or udp.port eq 80

• 过滤MAC:

–     eth.dst == MAC地址

• 协议过滤:

–     直接在Filter框中直接输入协议名即可，http udp dns

HTTP过滤

• http模式过滤
• http.request.method="POST" 过滤全部POST数据包
• http.request.uri=="/img/logo-edu.gif"
• http contains"GET" 模糊匹配 http头中有这个关键字
• http contains"HTTP/1." 版本号
• http.request.method=="GET"&& http contains"User-Agent:"

实践是检验真理的唯一标准

• 1.发现异常
• 2.指纹识别
• 3.明文传输
• 4.图片提取

 　　　一双明亮的大眼睛：

　　　　　　

　　　　明文传输

　　　　　　

　　　　　　

　　　　指纹识别

　　　　　　

　　　　

　　其余常用指纹

• Awvs:
  • acunetix_wvs_security_test acunetix
  • acunetix_wvs acunetix_test
  • Acunetix-Aspect-Password:Cookie:
  • acunetix_wvs_security_test X-Forwarded-Host:
  • acunetix_wvs_security_test X-Forwarder-For:
  • acunetix_wvs-security_test Host:
  • acunetix_wvs_security_test

• Netsparker:
  • X-Scanner:NetsparkerLocation:
  • NetsparkerAccept:netsparker/chechCookie:
  • netsparkerCookie:NETSPARKER

• Appscan:
  • Headers Content-Type:Appscan
  • Content-Type:AppScanHeader
  • Accept:Appscan User-Agent:Appscan

• Nessus:
  • x_forwarded_for:nessus
  • referer:nessus
  • host:nessus

• sqlmap:
  • User-Agent:sqlmap1.2.8#stable

　　图片提取　　

　　　　　1.找到上传图片的数据包　

　　　　2.追踪TCP流，选中右键追踪TCP流。

　　　　

　　　　3.点击保存，使用winhex打开。删除红框中的东西，保存打开即可。

　　　　

等级提升　　

• 1.目录扫描
• 2.一句话木马
• 3.流量包解密

　　目录扫描

 　　　　1.分析流量包，看到是进行目录扫描

　　　　

　　　　2.在最后发现可疑操作。

　　　　

　　　　3.使用HTTP导出数据，使用php进行解压。

　　　　　　

　　　骑个马

　　　　1.由目录看出，应该是一句话木马上传之后

 　　　　

　　　　2.追踪流量发现为中国菜刀的流量

 　　　　

　　　　3.继续追踪发现有rar文件和一个png文件。提取即可

　　　　

 　　　　

　　流量包解密

　　　　1.打开如下。

　　　　

　　　　2.先破解无线密码

　　　　　　使用aircrack-ng.exe shipin.cap检查包信息得到无线的ESSID    0719

　　　　　　

　　　　　　使用aircrack-ng.exe shipin.cap -w password.txt破解WPA密码

　　　　　　

　　　　　　

• • 知道了无线ESSID和密码。然后解密数据包。
  • 然后用airdecap-ng.exe shipin.cap -e 0719 -p 88888888利用ESSID和WPA密码进行解密
  • 

    

 FTP协议分析

　　1.直接搜索ftp，发现三个文件

 　　　　

　　　　2..把文件提取出来看看。追踪TCP保存出来

　　　　

 　　　　　3.尝试伪加密，解开。09改成00

 　　　　　　

　　　　　　4.然而flag没在这里

 　　　　　　5.还有一个key.log.能发现这是一份NSS Key Log Format的文件，而这个文件是能解密出 Wireshark 里面的 https 流量的。把他保存出来，然后在以密钥发方式导入(Edie->preferences->SSL）

　　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　JMC ----胖丫