简介
AWD比赛中我们会进行流量监控,通过linux中的tcpdump进行流量记录,我们记录了流量之后可以对他们的攻击进行流量分析,我们通过wireshark查看流量包对我们哪里进行了攻击并且可以对其溯源,然后防御并且编写脚本得分。
工具
Wireshark:
是一个网络封包分析软件。网络封包分析软件的功能是网络封包,并尽可能显示出最为详细的网络封包资料。wireshark使用winpcap作为借口,直接与网卡进行数据报文交换.
tcpdump:
linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。tcpdump时linux中强大的网络数据采集分析工具之一。
用简单的化来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
Wireshark分析
TCP三次握手协议
第一次握手:客户端的应用程序主动打开,并向服务端发出请求报文段。其首部中SYN=1,seq=x。
第二次握手:服务器应用被动打开。若同意客户端的请求,则发回确认报文。其首部中:SYN=1,ACK=1,ack=x+1,seq=y。
第三次握手:客户端收到确认报文之后,通知上层应用进程已建立,并向服务器发出确认报文。其首部ACK=1,ack=y+1。
Comparing operators(比较运算符):
Logical expressions(逻辑运算符):
过滤规则
过滤IP地址
(1) ip.addr == 192.168.1.1 //只显示源/目的IP为192.168.1.1的数据包(2) not ip.src == 1.1.1.1 //不显示源IP为1.1.1.1的数据包(3 ip.src == 1.1.1.1 or ip.dst == 1.1.1.2 //只显示源IP为1.1.1.1或目的IP为1.1.1.2的数据包
过滤端口
(1) tcp.port eq 80 #不管端口是来源还是目的都显示80端口(2) tcp.port == 80(3) tcp.port eq 2722(4) tcp.port eq 80 or udp.port eq 80(5) tcp.dstport == 80 #只显示tcp协议的目标端口80(6) tcp.srcport == 80 #只显示tcp协议的来源端口80(7) udp.port eq 15000(8) tcp.port >= 1 and tcp.port <= 80 #过滤端口范围
过滤MAC地址
(1) eth.dst == MAC地址 #过滤目标MAC(2) eth.src eq MAC地址 #过滤来源MAC(3)eth.addr eq MAC地址 #过滤来源MAC和目标MAC都等于MAC地址的
http请求方式过滤
(1) http.request.method == “GET”(2) http.request.method == “POST”(3) http.host mathes “www.baidu.com|baidu.cn” #matches可以写多个域名(4) http.host contains “www.baidu.com” #contain只能写一个域名(5) http contains “GET”例如:http.request.method ==“GET” && http contains "Host: "http.request.method == “GET” && http contains "User-Agent: "http.request.method ==“POST” && http contains "Host: "http.request.method == “POST” && http contains "User-Agent: "http contains “HTTP/1.1 200 OK” && http contains "Content-Type: "http contains “HTTP/1.0 200 OK” && http contains "Content-Type: "
TCPdump分析
tcpdump采用命令行方式,它的命令格式为:tcpdump [-adeflnNOpqStvx0] [-c 数量][-F 文件名] [-i 网络接口][-r 文件名] [-s snaplen][-T 类型] [-w 文件名] [表达式]
基本界面
详细参数:
端口过滤
抓取所有经过ens33,目的或源端口22的网络数据:tcpdump -i ens33 port 22指定源端口:tcpdump -i ens33 sec port 22指定目的端口: tcpdump -i ens33 dst port 22
网络过滤
tcpdump -i ens33 net 192.168.1.1tcpdump -i ens33 src net 192.168.1.1 #源端口tcpdump -i ens33 dst net 192.168.1.1 #目的端口
协议过滤
tcpdump -i ens33 arptcpdump -i ens33 iptcpdump -i ens33 tcptcpdump -i ens33 udptcpdump -i ens33 icmp
tcpdump -w 1.pcap #抓所有包保存到1.pcap中然后使用wireshark分析 转载自:https://blog.csdn.net/gd_9988/article/details/104629986?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.nonecase
本文始发于微信公众号(LemonSec):AWD流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论