網(wǎng)絡(luò)攻防項目實戰(zhàn) 課件 4.3流量數(shù)據(jù)分析

4.3流量數(shù)據(jù)分析任務(wù)描述云海網(wǎng)絡(luò)安全公司的工程師小吳近期發(fā)現(xiàn)網(wǎng)絡(luò)的ftp服務(wù)器上總是莫名多出一些文件，本來以為時某個員工上傳，可詢問了整個部門所有員工，卻發(fā)現(xiàn)沒有人上傳過文件。經(jīng)過簡單的分析后，猜測有攻擊者破解了部門ftp服務(wù)并獲取了ftp上的文件；因此，他計劃對當(dāng)天的流量數(shù)據(jù)包進(jìn)行分析，查看是否存在可疑IP，找到攻擊成功的原因或漏洞。通過本任務(wù)學(xué)習(xí)，能夠體驗滲透測試工程師在應(yīng)急響應(yīng)過程中利用Wireshark對獲取的數(shù)據(jù)包進(jìn)行分析的工作環(huán)節(jié)。020301任務(wù)準(zhǔn)備流量清洗入侵流量追蹤目錄任務(wù)準(zhǔn)備01設(shè)置網(wǎng)絡(luò)實驗環(huán)境打開VMwareworkstation虛擬機(jī)軟件，點擊菜單欄中的“編輯”功能，在“虛擬網(wǎng)絡(luò)編輯器”窗口中勾選“僅主機(jī)模式”，將DHCP服務(wù)子網(wǎng)IP地址設(shè)置為192.168.200.0,子網(wǎng)掩碼設(shè)置為。設(shè)置網(wǎng)絡(luò)實驗環(huán)境單擊“DHCP設(shè)置”按鈕，將起始IP地址設(shè)置為“00”，結(jié)束IP地址設(shè)置為“00”，其余選項均為默認(rèn)設(shè)置。開啟虛擬機(jī)操作系統(tǒng)準(zhǔn)備好教學(xué)配套資源包中提供的WindowsServer2008R2虛擬機(jī)操作系統(tǒng)，將虛擬機(jī)網(wǎng)絡(luò)適配器的網(wǎng)絡(luò)連接模式設(shè)置為“僅主機(jī)模式”，并啟動操作系統(tǒng)。流量清洗02流量清洗由于數(shù)據(jù)包過大或通過分析知曉涉及的具體協(xié)議，可對數(shù)據(jù)包進(jìn)行流量清洗，減少無用數(shù)據(jù)，便于后續(xù)的過濾和分析。流量清洗打開Wireshark軟件，點擊“文件”選項卡，選擇“打開”選項，找到獲取到的數(shù)據(jù)包“protest.pcapng”。步驟1打開數(shù)據(jù)包點擊wireshark軟件的“統(tǒng)計”選項卡，選擇“協(xié)議分級”選項，可以打開wireshark協(xié)議分級統(tǒng)計窗口，仔細(xì)觀察該窗口內(nèi)的協(xié)議，從中看到占比較大的是ftp協(xié)議和ftp-data。步驟2查看協(xié)議流量清洗wireshark協(xié)議分級統(tǒng)計流量清洗在windowsServer2008R2操作系統(tǒng)中按下“win+R”打開“運行”功能，輸入“cmd”,打開cmd終端命令行，繼續(xù)輸入“cdc:\ProgramFiles\Wireshark”進(jìn)入wireshark安裝目錄。步驟3進(jìn)入Wireshark安裝目錄流量清洗在cmd終端命令行輸入“tshark-rc:\partm\protest.pcapng-Y"ftp||ftp-data"-wc:\partm\result.pcap”命令調(diào)用wireshark自帶的tshark工具對流量包進(jìn)行流量清洗，過濾出ftp和ftp-data流量并保存為新的流量文件result.pcap文件。步驟4使用tshark工具進(jìn)行流量清洗入侵流量追蹤03入侵流量追蹤在WindowsServer2008R2系統(tǒng)中找到result.pcap文件，雙擊該文件后，wireshark軟件自動加載。步驟1入侵流量追蹤點擊wireshark軟件的“統(tǒng)計”選項卡，點擊“對話”選項(Conversations)，打開“對話”窗口，選擇“IPv4”選項，查看IPv4流量走向情況，在結(jié)果中可疑看到除了本機(jī)ip（00）外還有兩個ip地址存在。步驟2入侵流量追蹤在“對話”窗口中選擇“TCP”選項，查看TCP流量走向情況，發(fā)現(xiàn)只有上述兩個ip地址的主機(jī)與本機(jī)存在TCP協(xié)議，由此判斷，可能有攻擊者IP。步驟3入侵流量追蹤入侵流量追蹤在“應(yīng)用顯示過濾器···<Ctrl-/>”框內(nèi)，輸入過濾條件“ip.addr==”進(jìn)行過濾，在過濾結(jié)果中看到記錄正常，不存在暴力破解的情況，但有message.jpeg文件的相應(yīng)記錄。步驟4入侵流量追蹤對ip：進(jìn)行過濾入侵流量追蹤分析找出可疑語句“Request：RETRmessage.jpeg”，右擊“追蹤流”，選擇“TCP流”選項，進(jìn)行TCP跟蹤，發(fā)現(xiàn)該ip地址用戶登錄ftp服務(wù)器后，成功下載了ftp服務(wù)器中的“staffmessage.xlsx”文件，但沒有執(zhí)行過上傳文件的命令。步驟4入侵流量追蹤追蹤TCP流入侵流量追蹤查看執(zhí)行命令入侵流量追蹤在“應(yīng)用顯示過濾器···<Ctrl-/>”框內(nèi)，輸入過濾條件“ip.addr==00”進(jìn)行過濾，發(fā)現(xiàn)該ip存在登陸失敗的記錄，即Info顯示“Response：530Usercannotlogin.”，發(fā)現(xiàn)短時間內(nèi)存在多條登錄失敗記錄，猜測攻擊者進(jìn)行暴力破解操作。步驟5入侵流量追蹤入侵流量追蹤繼續(xù)觀察流量發(fā)現(xiàn)在大量登錄失敗的記錄之后，出現(xiàn)了登錄成功的記錄，，即Info顯示“Response：230Userloggedin.”，推斷00的主機(jī)可能為攻擊者。步驟5入侵流量追蹤入侵流量追蹤輸入“ip.addr==00”條件繼續(xù)觀察是否有可疑文件上傳記錄，發(fā)現(xiàn)后續(xù)出現(xiàn)了可疑文件“message.jpeg”相關(guān)的上傳記錄和數(shù)據(jù)。步驟6入侵流量追蹤分析“Request：STOR/message.jpeg”，右擊“追蹤流”并選擇“TCP流”選項，進(jìn)行TCP跟蹤，發(fā)現(xiàn)攻擊者登錄ftp服務(wù)器后，下載了ftp服務(wù)器中的“clientmessage.xlsx”和“message.xlsx”文件，上傳了“message.jpeg”文件。步驟7入侵流量追蹤入侵流量追蹤由此，結(jié)