流量分析基础篇

流量分析

1.流量分析是什么？

　　网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

　　CTF比赛中，通常比赛中会提供一个包含流量数据的 PCAP 文件，进行分析。

2.数据包分析

总体把握

– 协议分级

– 端点统计

过滤赛选

– 过滤语法

– Host，Protocol特征值

发现异常

– 特殊字符串

– 协议某字段

数据提取

– 字符串取

– 文件提取

3.工欲善其事，必先利其器。

-------wireshark
-------tcpdump
-------RawCap

一般情况下，非HTTP协议的网络分析，在服务器端用tcpdump比较多，在客户端用wireshark比较多，两个抓包软件的语法是一样的。

4.宝刀初现

Wireshark捕获任何类型的网络数据包。
同时wireshark作为一个开源项目，来自全世界的开发者不断的优化wireshark
wireshark是用C语言进行编写的。C语言的好处是直接操作内存，效率高https://wizardforcel.gitbooks.io/wireshark -manual/content /（中文使用文档）

5.宝刀长这个样子

6.这个包到底有多少协议

Protocol Hierarchy 选项

– Statistics选项中的Protocol Hierarchy 选项中包含此数据包出现的所有协议

7.到底谁和谁对话

Conversations选项

　　　　Statistics选项中的Conversations选项中包含了谁和谁进行了通信

　　　　　　事不过三，其余的大家自己研究。

统统过滤

　　字符串过滤：

常用过滤：

过滤ip，如源IP或者目标x.x.x.x：

– ip.src eq xxxx or ip.dst eq xxxx 或者 ip.addr eq xxxx

过滤端口：

– tcp.port eq(等于) 80 or udp.port eq 80

过滤MAC:

– eth.dst == MAC地址

协议过滤:

– 直接在Filter框中直接输入协议名即可，http udp dns

HTTP过滤

http模式过滤
http.request.method="POST" 过滤全部POST数据包
http.request.uri=="/img/logo-edu.gif"
http contains"GET" 模糊匹配 http头中有这个关键字
http contains"HTTP/1." 版本号
http.request.method=="GET"&& http contains"User-Agent:"

实践是检验真理的唯一标准

1.发现异常
2.指纹识别
3.明文传输
4.图片提取

　　　一双明亮的大眼睛：

　　　　明文传输

　　　　指纹识别

　　其余常用指纹

Awvs:
- acunetix_wvs_security_test acunetix
- acunetix_wvs acunetix_test
- Acunetix-Aspect-Password:Cookie:
- acunetix_wvs_security_test X-Forwarded-Host:
- acunetix_wvs_security_test X-Forwarder-For:
- acunetix_wvs-security_test Host:
- acunetix_wvs_security_test