misc-流量分析

网络中的不同流量

互联网五层模型

防火墙截取的网络攻击流在公安机关对网络攻击的取证中,流量分析往往是非常重要的一个环节,通过分析量,我们能获得许多线索。在学习流量分析之前,我们需要明白一些网络的基础知识,

我们将从常见的网络五层模型,自下而上,即

物理层->数据链路层->网络层->传输层->应用层 进行介绍

工具:wireshark(流量抓包记录分析)下载地址:https://www.wireshark.org/

cisco packet tracer (网络拓扑模拟)下载地址: https://www.netacad.com/portal/resources/packet-tracer

Wireshark的基本使用

进入wireshark,首先选择需要监听的网卡

之后wireshark会进入监听状态,我们可以点击其中任意一个数据包查看相关数据内容

以太网比无线网卡越点低。越点越低,优先级越高。

物理层

WIFI无线通信

千兆网线

当两台计算机相连直接通信的时候,发挥主要作用的是物理层。

计算机将信号发送到网线上,另外一台计算机负责接收。

假如我们将第三台电脑通过集线器(hub)相连,相当于三台计算机

同时连接在同一根导线上,一台计算机发送的信号,会被其他两台

计算机同时收到,不够安全,也有可能发生信号冲突

两台电脑交叉连接即可,三台或更多设备要实现互通则必须要更多接口。如果100台设备实现互通,则必须要每台设备有100个接口才能实现互通。但是如果设备过多,会造成接口需要的也愈多,于是就产生了hub。

ps:同种设备交叉线,不同设备直连线

数据链路层

当多台计算机通过交换机(switch)相连的时候,他们采用的通信方式是数据链路层的协议,如下图所示,每一台计算机分配了对应的MAC地址,当某台计算机想通过给另外一个计算机发送消息时,需要在以太帧头中指明发送方和接收方的地址,交换机在接收到信号之后会根据这个地址正确将信号转发至某一端口(即网线),从而避免了网络内所有计算机都能收到信号(隔离冲突域)。以太帧中的数据包是我们想要传输的信息,包括接下来的IP数据包

作用:隔离冲突域

网络层

当我们计算机的网络较为大且复杂的时候,我们使用简单的MAC地址并不能很好的管理网络,因为MAC地址是和硬件绑定的,因为假如我们更换了计算机设备,那么就需要重新配置网络的信息。这个时候IP地址网络协议就诞生了。

IP地址和MAC地址通过Arp协议进行转换。其中路由器的存在使得计算机之间能够跨网段访问。如图所示的网络的三个区域的网段分别是192.168.0.0/24、 192.168.1.0/24、 192.168.2.0/24,网关则是路由器连接每个网段的接口,比如192.168.0.1、192.168.1.1、192.168.2.1,计算机想要跨网段通信时,需要把消息转发给路由器上面的网关,路由器再根据IP地址接着转发。

下图是arp协议将物理地址转化为网络地址。

如下图所示,这个是网络层的IP数据包部分,里面指明了源地址和目的地址,IP地址里面的

数据包包含了我们想要传输的信息,如TCP数据包。

传输层

网络层的基础上,我们完成了数据通过IP地址的传送,但是我们仍然要确保数据传输

的可靠性Tcp就是这样的一种协议,他具有多种特性,如使用三次握手的方法确保连接

畅通,通过端口的方法来区分不同的连接。

大致流程如下:

客户端向服务端发送一个请求连接包 ,标识符为SYN序号为 J

服务端、收到请求连接包,并对SYN J进行确认,然后发送一个回复包,标识符为SYN K, ACK J+1

客户端向服务端发一个确认收到回复包,标识符为ACK K+1

这样就完成了三次握手。

传输层还有一种协议是UDP协议,是不可靠连接,是不能确定对方是否收到的一种数据包

格式如下:

应用层

HTTP报文由请求报文和

相应报文组成。常见的HTTP

报文类型有GET/POST

http请求报文

http响应报文

wireshark的基本使用

过滤

在这行,我们可以过滤出我们想要的数据包,比如http数据包,当然https协议外层有tls封装,所以我们只能抓到https的加密流量。

导出

我们可以使用如下方法导出wireshark中所有的http包的数据

也可以在某个tcp包上面选择右键-follow tcp stream,从而获取一整个tcp连接的数据

这些是导出的TCP流量(原始数据)

保存流量

我们使用wireshark嗅探出了大量的数据之后,我们可以把这些流量保存为一个pcapng为结尾的文件

常见题

在常见的ctf赛题中,往往是

给出一个pcapng文件,

需要我们读取这个流量文件,

然后从中寻找flag。

如果是较为简单的题,直接

选择搜索即可获得flag

直接查找flag

让我们做几道题

1.Udp tcp http你都搞懂区别了么?:

题目名称:《上课认真听了么?》

2.恶意软件分析,这个间谍软件都往服务器发送了什么信息?:

题目名称:《我是间谍》

3.课后练习两道:《简单流量》、《监听消息》

题目地址:https://camp.hackingfor.fun/#/train

短网址: http://dwz.date/efpW

备用地址: https://ctf.hzyxxl.com/challenges

短网址: http://dwz.win/aekx

工具下载

百度网盘:https://pan.baidu.com/s/1eyhG2llWAHehw4m5jwE7GQ

短网址: http://dwz.win/aekf

密码: vct2

天翼云盘:https://cloud.189.cn/t/U7riIvneQ7B3

短网址: http://dwz.win/aen2

最后修改:2021 年 02 月 23 日 11 : 28 PM
如果觉得我的文章对你有用,请随意赞赏