流量包分析相关

2024-09-22
  1. 科来:
    1. 分析攻击者主机和受害者主机的IP地址:
      1. 推荐用虽然科莱一开始不是很好看清楚IP来往,但是可以通过排序的方式来进行判断

    2. 可以分析服务器受攻击的端口号

    3. 可以分析受攻击的页面
  2. wireshark:

    1. 感觉IP分析和端口过滤分析没有科莱用的方便

    2. 但是wireshark可以提取http流中的文件,并且可以通过http流中的文件来定位数据包,这对于分析攻击者的流程很方便:
      1. 比如攻击者上传了某个文件后,就进行了reverse shell远程登录
      2. 那么就可以先通过提取这个文件,然后定位数据包,再进行http流追踪
      3. 进而可以挖掘出攻击者使用的远程登录的代码
    3. wireshark支持追踪流,这很方便
  3. networkminer:
    1. 可以通过软件来分析出攻击者使用了什么软件对服务器进行攻击
      1. 找到攻击者对应的IP
      2. 在Host Details里面就可以看见
      3. 或者是追踪http流,在User-Agent那一行可以看到,只不过需要一个一个地结合情况分析
    2. 可以通过软件迅速找到相关的Credentials 用户凭证
      1. 来找到用户登录的账号和密码