AWD流量分析

admin
admin
admin
101023
文章
87
评论
2021年6月23日22:58:52评论330 views字数 2416阅读8分3秒阅读模式

简介

AWD比赛中我们会进行流量监控,通过linux中的tcpdump进行流量记录,我们记录了流量之后可以对他们的攻击进行流量分析,我们通过wireshark查看流量包对我们哪里进行了攻击并且可以对其溯源,然后防御并且编写脚本得分。


工具

        Wireshark:
        是一个网络封包分析软件。网络封包分析软件的功能是网络封包,并尽可能显示出最为详细的网络封包资料。wireshark使用winpcap作为借口,直接与网卡进行数据报文交换.

        tcpdump:
        linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。tcpdump时linux中强大的网络数据采集分析工具之一。
        用简单的化来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。



Wireshark分析
TCP三次握手协议

    第一次握手:客户端的应用程序主动打开,并向服务端发出请求报文段。其首部中SYN=1,seq=x。
    第二次握手:服务器应用被动打开。若同意客户端的请求,则发回确认报文。其首部中:SYN=1,ACK=1,ack=x+1,seq=y。
    第三次握手:客户端收到确认报文之后,通知上层应用进程已建立,并向服务器发出确认报文。其首部ACK=1,ack=y+1。

AWD流量分析

Comparing operators(比较运算符):

AWD流量分析

Logical expressions(逻辑运算符):

AWD流量分析


过滤规则
过滤IP地址

    (1) ip.addr == 192.168.1.1 //只显示源/目的IP为192.168.1.1的数据包    (2) not ip.src == 1.1.1.1 //不显示源IP为1.1.1.1的数据包    (3 ip.src == 1.1.1.1 or ip.dst == 1.1.1.2 //只显示源IP为1.1.1.1或目的IP为1.1.1.2的数据包



过滤端口

    (1) tcp.port eq 80 #不管端口是来源还是目的都显示80端口    (2) tcp.port == 80    (3) tcp.port eq 2722    (4) tcp.port eq 80 or udp.port eq 80    (5) tcp.dstport == 80 #只显示tcp协议的目标端口80    (6) tcp.srcport == 80 #只显示tcp协议的来源端口80    (7) udp.port eq 15000    (8) tcp.port >= 1 and tcp.port <= 80 #过滤端口范围


过滤MAC地址


  (1) eth.dst == MAC地址 #过滤目标MAC  (2) eth.src eq MAC地址 #过滤来源MAC  (3)eth.addr eq MAC地址 #过滤来源MAC和目标MAC都等于MAC地址的


http请求方式过滤

    (1) http.request.method == “GET    (2) http.request.method == “POST    (3) http.host mathes “www.baidu.com|baidu.cn” #matches可以写多个域名    (4) http.host contains “www.baidu.com” #contain只能写一个域名    (5) http containsGET    例如:    http.request.method ==“GET” && http contains "Host: "    http.request.method == “GET” && http contains "User-Agent: "    http.request.method ==“POST” && http contains "Host: "    http.request.method == “POST” && http contains "User-Agent: "    http containsHTTP/1.1 200 OK” && http contains "Content-Type: "    http containsHTTP/1.0 200 OK” && http contains "Content-Type: "


TCPdump分析


    tcpdump采用命令行方式,它的命令格式为:tcpdump [-adeflnNOpqStvx0] [-c 数量]    [-F 文件名] [-i 网络接口]    [-r 文件名] [-s snaplen]    [-T 类型] [-w 文件名] [表达式]



基本界面

AWD流量分析


详细参数:

AWD流量分析

AWD流量分析

AWD流量分析


端口过滤

抓取所有经过ens33,目的或源端口22的网络数据:tcpdump -i ens33 port 22指定源端口:tcpdump -i ens33 sec port 22指定目的端口: tcpdump -i ens33 dst port 22


网络过滤

tcpdump -i ens33 net 192.168.1.1tcpdump -i ens33 src net 192.168.1.1 #源端口tcpdump -i ens33 dst net 192.168.1.1 #目的端口


协议过滤

tcpdump -i ens33 arptcpdump -i ens33 iptcpdump -i ens33 tcptcpdump -i ens33 udptcpdump -i ens33 icmp

tcpdump -w 1.pcap #抓所有包保存到1.pcap中然后使用wireshark分析 


转载自:https://blog.csdn.net/gd_9988/article/details/104629986?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase

本文始发于微信公众号(LemonSec):AWD流量分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月23日22:58:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AWD流量分析http://cn-sec.com/archives/305935.html

发表评论

匿名网友 填写信息