原创 花十一一 2023-06-12 08:25 北京
流量分析篇
概述
Wireshark:是一款免费的开源网络协议分析软件。它可以捕获网络数据包,并提供高级数据分析和报告。Wireshark可以处理多种协议,包括TCP、UDP、HTTP、SMTP等。下载地址:https://www.wireshark.org/download.html如下可以通过配置来抓取指定条件的流量。
tcpdump:是一个常用的网络抓包工具,使用 tcpdump可以轻松地捕获到系统进来和出去的的数据包。常在 Linux、Unix 和 macOS 等操作系统上使用。下载地址:https://github.com/the-tcpdump-group/tcpdump
#抓取指定网卡的流量tcpdump -i eht0 -w test.pcap#抓取指定协议的流量tcpdump tcp -i eth0 -w test.pcap#抓取指定ip的流量tcpdump host 192.168.10.10#抓取指定端口的流量tcpdump port 80
Ntopng:是一款基于Web的流量分析工具,可以实时监测网络流量、带宽利用率和应用程序协议。Ntopng支持多种流量源的监测,包括网络接口、sFlow、NetFlow和IPFIX。下载地址:https://github.com/ntop/ntopng
Snort:是一款免费的网络入侵检测和预防系统软件。它可以监测和分析网络流量,并侦测攻击活动和异常流量。Snort支持多种协议,包括TCP、UDP、ICMP等。下载地址:https://www.snort.org/
Suricata:是一款高性能、多线程的网络入侵检测和预防系统软件。它可以检测并防止多种攻击活动,包括DoS、DDoS、蠕虫攻击等。Suricata可以处理多种协议,包括TCP、UDP、HTTP、FTP等。下载地址:https://github.com/OISF/suricata
Pcap分析
在日常安全运营工作中,流量分析一般分为两类,一是单个攻击pcap分析,分析攻击者有木有攻击成功。这种分析主要针对特定攻击的分析,需要了解这个攻击是干什么的,有什么危害,攻击成功的特征是什么。这类分析工作相对比较简单,如果分析方法不太熟练也可以用chatgpt辅助,例如:web漏洞CVE-2020-5902(F5 BIG-IP 远程代码执行漏洞)
二是流量包分析,这类分析通常发生在企业发生安全事件,设备没有有效检出或者只是检出了个别攻击。这时候就下载失陷主机的全部流量行为进行分析,还原整个安全事件。这类分析通常有两个目标找攻击入口和找黑客资产。比如失陷主机对外只开放了redis服务,那么攻击者入侵的方法大概就和redis漏洞相关,分析流量时候首先着重关注redis协议,然后结合互联网侧公开的redis漏洞,比如redis爆破、主从复制等在流量中找特征。其次看与这台机器发生连接的IP、其他通信协议,确认下有木有C&C。
协议分类
顾名思义就是按照不同协议类型进行分类,如下数据包,使用wireshark的统计功能,该流量包中有TLS、socks、http、rsl四类协议。分类后接下来就是针对特定协议进行特征分析。
目标主机/端口分类
这个主要是根据前期搜索到了攻击者IP或者可疑通信端口,提取指定流量。
ip.addr == 100.100.36.108tcp.port == 57184
数据包大小分类
恶意流量的数据包通常大于正常流量的数据包。因为攻击者通常会利用较大的数据包来发送恶意代码或攻击命令。因此首先需要了解正常情况下的特定协议的数据包大小范围,在此基础上如果发现数据包大小明显偏离正常范围,就可能是恶意流量。例如ICMP数据包的大小通常是64字节,其中包括8个字节的ICMP头和56字节的数据部分。另外ICMP数据包的大小可以根据需要进行调整,最大约为65,535个字节。例如在恶意icmp隧道通信中数据包的DATA往往不为64字节.
