流量,日志分析

wireshark

wireshark中有捕获过滤器显示过滤器

常用的捕获过滤表达式:

常见的显示过滤表达式:

语法:

1.过滤IP,如来源IP或者目标IP等于某个IP

例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

2.过滤端口

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

过滤端口范围

tcp.port >= 1 and tcp.port <= 80

3.过滤协议

例子:

tcp

udp

arp

icmp

http

smtp

ftp

dns

msnms

ip

ssl

oicq

bootp

等等

排除arp包,如!arp 或者 not arp

4.过滤MAC

MAC地址全称叫媒体访问控制地址,也称局域网地址,以太网地址或者物理地址。MAC地址用于在网络中唯一标示一个网卡,一台设备若有一或多个网卡,则每个网卡都需要并会有一个唯一的MAC地址,用来定义网络设备的位置。

太以网头过滤

eth.dst == A0:00:00:04:C5:84 // 过滤目标mac

eth.src eq A0:00:00:04:C5:84 // 过滤来源mac

eth.dst==A0:00:00:04:C5:84

eth.dst==A0-00-00-04-C5-84

eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

less than 小于 < lt

小于等于 le

等于 eq

大于 gt

大于等于 ge

不等 ne

5.http模式过滤

例子:

http.request.method == "GET"

http.request.method == "POST"

http.request.uri == "/img/logo-edu.gif"

http contains "GET"

http contains "HTTP/1."
// GET包

http.request.method == "GET" && http contains "Host: "

http.request.method == "GET" && http contains "User-Agent: "
// POST包

http.request.method == "POST" && http contains "Host: "

http.request.method == "POST" && http contains "User-Agent: "
// 响应包

http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "

http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "

一定包含如下

Content-Type:

6.包长度过滤

例子:

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

frame.len == 119 整个数据包长度,从eth开始到最后

eth ---> ip or arp ---> tcp or udp ---> data

Windows日志分析

Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录

记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息

  • 事件日志

Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹

Windows主要有三类日志记录系统事件:应用程序日志、系统日志和安全日志

系统日志:

Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误消息等。

日志的默认位置为:C:\Windows\System32\winevt\Logs\System.evtx

  • 应用程序日志:

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

日志的默认位置为:C:\Windows\System32\winevt\Logs\Application.evtx

  • 安全日志:

主要记录系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改,需要指明的是安全日志只有系统管理员才可以访问,这也体现了在大型系统中安全的重要性。

日志的默认位置为:C:\Windows\System32\winevt\Logs\Security.evtx

系统和应用程序日志存储着故障排除信息

安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么

事件日志分析

Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型

五种事件类型分别是,信息,警告,错误,成功审核,失败审核

信息:信息事件指应用程序、驱动程序或服务的成功操作的事件

警告:警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个"警告"事件。

错误:错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。

成功审核:成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为"成功审核"事件

失败审核:失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。

常见的登录类型:

常见的日志分析:

例题1

来源:BUUCTF 被嗅探的流量

打开题目发现是pcapng图片

我们打开搜索一下带名字是flag的文件

找到一个包含flag的图片,追踪tcp流

找到了flag

例题2

来源:BUUCTF 数据包中的线索

过滤http数据包

在逐个追踪tcp流

在追踪的tcp流里面发现了base64编码

将base64编码转图片

得到flag

相关推荐
长安11082 小时前
前后端、网关、协议方面补充
网络
hzyyyyyyyu5 小时前
隧道技术-tcp封装icmp出网
网络·网络协议·tcp/ip
南猿北者5 小时前
docker Network(网络)
网络·docker·容器
Hacker_Nightrain6 小时前
网络安全CTF比赛规则
网络·安全·web安全
网络安全指导员7 小时前
恶意PDF文档分析记录
网络·安全·web安全·pdf
co0t8 小时前
计算机网络(11)和流量控制补充
服务器·网络·计算机网络
白总Server8 小时前
JVM解说
网络·jvm·物联网·安全·web安全·架构·数据库架构
清尘沐歌8 小时前
有什么好用的 WebSocket 调试工具吗?
网络·websocket·网络协议
Li_0304069 小时前
Java第十四天(实训学习整理资料(十三)Java网络编程)
java·网络·笔记·学习·计算机网络
Tony聊跨境9 小时前
什么是 ISP:了解互联网服务提供商的作用
网络·人工智能·isp