应急响应——恶意流量&攻击行为识别

一、前置基础

1.流量分析适用场景

网络中所有数据交互都会产生流量，应急场景下多用于：

• 主机异常外联、对外挖矿/远控回连
• 端口扫描、内网探测行为判定
• 暴力破解、漏洞攻击流量识别
• 区分正常业务流量与攻击流量

2.常用工具

• Wireshark：主流免费抓包分析工具
• 科来网络分析系统：政企常用图形化流量分析工具
• 系统自带：netstat/ss（查看本机当前连接，简易流量排查）

3.抓包基础规则

1. 抓包需要在流量必经节点操作：本机、网关、核心交换机、防火墙
2. 抓包前划定时间范围，配合告警时段抓取，减少无效证据
3. 优先过滤目标IP、端口、协议，不用全量分析

二、Wireshark基础操作与过滤语法

1.基础操作

• 启动选择网卡：选中当前上网网卡，点击开始抓包
• 停止抓包：发现目标流量后及时停止，避免文件过大
• 报文结构：物理层------数据链路层------网络层（IP）------传输层（TCP/UDP）------应用层
• 三栏视图：报文列表、报文详情、十六进制原始数据

2.核心过滤表达式（分类：显示过滤/捕获过滤）

（1）常用显示过滤（抓包后筛选，最常用）

#按协议过滤
tcp     #只显示TCP流量
udp     #只显示UDP流量
http    #只显示HTTP流量
dns     #只显示DNS域名解析流量


#按IP过滤
ip.src == 192.168.1.10    #筛选源IP为指定地址（攻击主机）
ip.dst == 192.168.1.20    #筛选目标IP为指定地址（受害主机）
ip.addr == 192.168.1.10   #包含该IP的所有进出流量

#按端口过滤
tcp.port == 3389      #远程桌面RDP流量
tcp.port == 22        #SSH远程登录流量
tcp.port == 445       #SMB文件共享（永恒之蓝、横向移动重点端口）
tcp.port==80 || tcp.port==22    #网站访问流量

#组合条件（与&&、或||、非！）
ip.src==10.0.0.50 && tcp.port==22    #某IP发起的SSH流量

（2）捕获过滤（抓包前设置，只抓取符合条件流量）

语法和显示过滤不同，简单示例：

host 192.168.1.10    #仅抓取主机所有流量
port 445             #仅抓取445端口流量

三、主流攻击流量特征识别（核心）

1.端口扫描流量

行为特征

• 单个源IP，短时间内向大量不同目标端口发起TCP连接请求
• 无正常业务交互，进发送握手包，多数连接无后续数据
• 常见扫描类型：全端口扫描、常见端口扫描、段扫描

流量表现

• 大量TCP SYN包（仅三次握手第一步，半开扫描）
• 目标端口杂乱（21、22、80、3389、445、135等集中出现）
• 日志/连接记录：同一IP高频访问本机不同端口

过滤&判断

过滤tcp.flags.syn==1 && tcp.flags.ack==0,出现海量此类报文即为端口扫描

2.暴力破解流量

分为**账号爆破(SSH/RDP/网站后台）**两类：

（1)SSH暴力破解（TCP 22端口）

• 特征：同一源IP反复向目标22端口发起TCP连接
• 应用层特征：多次出现认证失败报文，连接断开后立即重连
• 辅助佐证：结合Linux /var/log/secure 日志Failed password记录

（2）RDP暴力破解（TCP 3389端口）

• 特征：单IP高频访问3389端口，连接快速断开重试
• 对应Windows安全日志：大量4625登录失败事件ID

（3）Web后台弱口令爆破（80/443端口）

• HTTP流量中反复提交POST请求，参数为用户名+密码
• 请求路径固定为登录接口，UA、请求格式高度统一

3.内网横向移动流量

内网沦陷后攻击者典型行为，高危流量：

（1）SMB协议（TCP 445\139）

• 用途：文件共享、远程命令执行、永恒之蓝漏洞利用
• 特征：内网主机之间大量445端口交互，非业务正常通信
• 风险：445端口异常流量=大概率横向渗透、勒索病毒传播

（2）IPC连接（依赖445/139）

• 行为：跨主机查询注册表、计划任务、系统信息
• 流量特点：内网IP间持续小数据包交互，无正常文件传输特征

4.远控/木马外联流量

主机中木马、远控后的外联回连（应急高频场景）

通用特征

• 主机主动向外网陌生IP/陌生端口建立长连接
• 流量间断性收发数据（心跳包、指令传输）
• 本机无对应业务程序，出现陌生外联

分类识别

1.普通TCP远控

• 固定外网IP+非常规高端口建立持续TCP连接
• 流量数据包短小、间隔规律（木马心跳）

2.挖矿木马外联

• 固定连接矿池域名/IP，端口多为高频挖矿端口
• 持续上传大量数据，网络带宽占用高
• 伴随主机CPU、内存使用率飙升

3.DNS隧道（隐蔽外联）

• 利用DNS协议传输数据，伪装成正常域名解析
• 特征：大量非常规长域名解析请求，DNS流量异常暴增

5.钓鱼&恶意文件流量

1）钓鱼邮件附件下载

• 访问陌生外网域名，下载.exe .zip .doc等文件
• 流量：HTTP/HTTPS大文件传输，源地址为陌生境外IP

2）宏病毒/恶意文档

• 打开文档后，主机自动外联恶意地址、下载二次荷载
• 表现：打开文档瞬间出现陌生TCP连接

6.Web攻击流量

1. SQL注入/XSS：HTTP请求参数携带特殊字符、SQL语句、脚本标签
2. 文件上传：POST请求携带二进制文件数据，向上传接口提交内容
3. 流量特征和Web日志一 一对应，流量可作为日志的补充证据

四、快速排查：不用抓包，本机连接建议排查

应急现场若无抓包条件，优先用系统命令查看当前连接，快速定位异常外联

Windows命令

#查看所有网络连接、进程、端口（管理员执行）
netstat -ano

#参数说明
#-a 显示所有连接和侦听端口
#-n 不解释域名、直接显示IP端口（速度快）
#-o 显示对用进程PID

#结合任务管理器，通过PID找到对应异常进程

**判断异常：**出现陌生外网IP+非常规端口+未知PID

Linux命令

# 查看TCP连接
ss -ntul

# 查看连接+进程
netstat -antp

#持续监控连接变化
watch -n1 netstat -antp

**判断异常：**内网主机主动连接外网陌生IP、高频对外发起连接

五、流量分析标准流程

• 确定范围：根据告警事件、受害主机IP，锁定抓包对象与时间段
• 初步筛选：用过滤语法剔除正常业务流量（办公、网站、数据库等）
• 识别行为：匹配上述流量特征，判断是扫描、爆破、木马外联还是横向移动
• 溯源信息：记录攻击IP、目标端口、通信协议、通信时长
• 交叉验证：结合系统日志、进程、文件，确认威胁类型
• 留存证据：保存抓包文件（.pcap格式），用于取证与复盘