• 抓包捕获:Capture–>Interface–>网卡
  • 数据过滤:Filter过滤规则
  • 协议统计/ip统计/端口统计(Statistics)
  • 搜索功能(Ctrl+F)

  • Display Filter:显示过滤器,用于查找指定协议所对应的帧

    • Hex Value:搜索数据中十六进制字符位置
    • String:字符串搜索.Packet list:搜索关键字匹配的info所在帧的位置.Packet details:搜索关键字匹配的info所包括数据的位置.Packet bytes:搜索关键字匹配的内容位置.

  • Follow Tcp Stream:对于TCP协议,可提取一次回话的TCP流进行分析.右键选择Follow TCP Stream,就可以看到本次回话的文本信息,还具备搜索,另存等功能.在查看tcp数据流的过程中,可以另存为保存.

  • Wireshark抓包分析首先得具备一定的网络协议知识,熟悉常见协议,对协议进行分层(最好分7层)识别分析.

    1. 利用WireShark或采集分析设备补货,储存数据包

    2. 数据链路层:ARP欺骗

    3. 网络层:

      • 统计ip地址,从中寻找可疑的ip
      • ip欺骗行为
      • icmp路由欺骗行为

    4. 传输层:

      • 会话劫持
      • 洪水攻击
      • 端口扫描

    5. 会话层:

      • 认证过程:爆破,仿冒,猜解
      • 通信过程中的完整性
      • 口令,加密的安全性
      • 漏洞扫描
      • 爬虫,蜘蛛
      • 请求域名状态
      • 数据结构完整性

    6. 表示层:

      • 编码协商的完整性
      • 通信内容列表

    7. 应用层:

      • 通信内容合理性,完整性
      • 内容安全性
      • 行为合理性
      • 漏洞扫描,注入等
      • 木马,心跳
      • 邮件攻击
      • 路由攻击

  • 邮件服务器除了有用smtp协议外还有pop3协议,http协议,imap协议等等.

  • 木马病毒通信不通过DNS解析的方法和技术很多

  • WireShark分析https协议:HTTPS协议为加密协议,从数据很难判断认证是否成功,只能根据头部结合社会工程学才能判断.如认证后有无查看网页,邮件的步骤,如有,就会产生加密数据.

  • 暴力破解:

    • 验证码机制防范暴力破解仅适用于HTTP/HTTPS协议,无法防范其他协议.
    • 理解暴力破解的通信原理,从通信层面进行监控和阻止就可以实现
    • 重要管理系统的登陆权限受到爆破攻击的行为较多,登陆权限最好绑定管理员常用的ip地址或增加认证机制.

  • 端口扫描探测:

    1. 全链接扫描:全链接扫描调用操作系统提供的connect()函数,通过完整的三次TCP连接来尝试目标端口是否开启.全连接扫描是一次完整的TCP连接.

      1. 攻击方:发起SYN包
      2. 目标:返回SYN ACK
      3. 攻击方:发起ACK
      4. 攻击方:发起RST ACK结束会话

    2. 半连接扫描:半连接扫描不使用完整的TCP连接.攻击方发起SYN请求包;如果端口开启,目标主机回应SYN ACK包,攻击方再发送RST包.如果端口未开启,目标主机直接返回RST包结束回话.

    3. 秘密扫描TCPFIN:TCP FIN扫描是指攻击者发送虚假信息,目标主机没有任何响应时认为端口是开放的,返回数据包认为是关闭的.

    4. 秘密扫描TCPACK:TCP ACK扫描是利用标志位ACK,而ACK标识在TCP协议中表示确认序号有效,它表示确认一个正常的TCP连接.

    5. UDP端口扫描:针对UDP端口一般采用UDP ICMP端口不可达扫描

  • 操作系统的探测:nmap --script=smb-check-vulns.nse --script-args=unsafe=1 ipaddr