wireshark網絡安全流量分析基礎

01.介紹

網絡安全流量分析領域中，wireshark和csnas是取證、安全分析的好工具，包括很多研究安全規則、APT及木馬流量特征的小伙伴，也會常用到兩個工具。這兩款流量嗅探、分析軟件，今天先介紹wireshark作為安全分析工具的基本使用。

02.基本使用

 Wireshark對pcap包分析過程中常用的功能基本上包括：數據包篩選、數據包搜索、流還原、流量提取等。本次的演示找到了CTF相關pcap包，如感興趣可自己下載分析：

鏈接：https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA  提取碼：k0y4 

2.1 數據包篩選

海量數據中要想能察覺到可疑通信，找到攻擊的蛛絲馬跡，那就需要對一些端口、協議、請求方式和攻擊特征等進行過濾，不斷縮小可疑流量范圍，才能更好進一步分析達到最終溯源的目的。

2.1.1 篩選IP

※流量過濾中可以使用過濾可疑IP或排除一些無用信息，減少無關流量包的干擾，更直接定位目標。

>篩選特定IP，過濾出所有與192.168.94.233相關的流量

語法：ip.addr==192.168.94.233

>篩選源IP，過濾出所有源ip都為192.168.94.233

語法：ip.src==192.168.94.233

 

同樣過濾目的IP語法：ip.dst==192.168.94.233

且關系使用&&：ip.dst==192.168.94.233&& ip.dst==192.168.32.189

或關系使用||：ip.dst==192.168.94.233||ip.dst==192.168.32.189

非關系：!=

 

2.1.2HTTP模式過濾

※在web攻擊流量分析中，http顯得尤為重要，根據攻擊特點過濾http流量能更准確定位攻擊；如常見上傳webshell使用POST請求、指定URI可疑發現一些上傳路徑或者后台等，另也可以從包含的一些關鍵特征判斷使用的工具、木馬、腳本等。

http請求方式為GET語法：http.request.method==”GET”

http請求方式為POST語法：http.request.method==”POST”

請求的URI為/login.php語法：http.request.uri==”/login.php”

請求的http中包含sqlmap的語法：http contains “sqlmap”

請求方式為GET且請求中包含UA信息：http.request.method==”GET” && http contain “User-Agent”

 

 2.1.3 mac地址篩選:

※這部分過濾和IP過濾作用一樣

 eth.dst ==A0:00:00:04:C5:84 篩選目標mac地址

 eth.addr==A0:00:00:04:C5:84 篩選MAC地址

 

 2.1.4  端口篩選：

※通過常見端口如445、1433、3306等可以定位相關特殊的服務。

tcp.dstport == 80  篩選tcp協議的目標端口為80 的流量包

tcp.srcport == 80  篩選tcp協議的源端口為80 的流量包

udp.srcport == 80  篩選udp協議的源端口為80 的流量包

 

2.1.5  協議篩選：

※協議過濾可以根據相關服務使用的協議類型進行

tcp  篩選協議為tcp的流量包

udp 篩選協議為udp的流量包

arp/icmp/http/ftp/dns/ip  篩選協議為arp/icmp/http/ftp/dns/ip的流量包

 

 2.1.6  包長度篩選：

※包長度、大小可以利用判斷一些木馬特征，掃描特征、ddos等

udp.length ==20   篩選長度為20的udp流量包

tcp.len >=20  篩選長度大於20的tcp流量包

ip.len ==20  篩選長度為20的IP流量包

frame.len ==20 篩選長度為20的整個流量包

 

2.2 數據流分析

使用wireshark進行威脅流量發現時候，除了判斷包特征，訪問日志，證書等，數據量是較為直觀發現異常行為的方式，我們常會查看一些HTTP流、TCP流和UDP流進行流量分析，wireshark中常用方法：

這里我就用找一個后台登入的http流做展示

1)找疑似后台登入點：http contains login

2）判斷登入是否成功，這時可以查看http流的響應情況進行分析：”右鍵-追蹤流-HTTP流”

 

可以根據數據流的請求頭、請求體判斷源IP的一些信息，這個有助於進行追蹤；響應頭、響應體可以作為本次請求是否成功，達到的響應效果的判斷。

HTTP流之外還會有TCP流、UDP流、HTTPS流等，操作的方法是一樣的；

2.3文件還原

※攻擊流量中少不了惡意腳本，樣本文件，這時能對樣本提取是對威脅攻擊的進一步分析十分重要。而使用wireshark就可以做到簡單文件還原，當然如果你需要對批量文件還原，可能還需要一些自己研究的工具進行還原，下面說一下wireshark怎么進行還原：

1）“文件-導出對象”這樣可以選擇導出的協議類型數據，選擇http后會出現數據包所有的關於http協議的數據包；在所有http數據流中的文件，選中進行save進行；其他協議相關文件也一樣。

 

2）分組字節流還原

對於特定的字節流可以“右鍵-導出分組字節流”最后保存就ok了

 

 

總結：wireshark比較適合對於小流量包威脅數據進行分析，CTF賽事也會常用wireshark進行分析；作為網絡流量安全分析的好工具，功能其實也很多，本次分享的只是一些常見功能，如果對網絡流量安全分析感興趣，可以多去使用wireshark研究攻擊數據包特征，可以先從簡單web攻擊數據包開始，再去看看一些竊密、木馬、APT相關數據包，后面我也會慢慢分享一些關於分析威脅流量包的文章，也是記錄自己的一個學習過程。