(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。

恶意流量分析基础学习_第1张图片

(2)显示过滤器,刷选关心的协议字段。可以参考expression

一般来说,可以过滤,IP,端口,协议,

恶意流量分析基础学习_第2张图片

(3)协议统计

   点击统计,选择协议分级统计,可以看到使用的协议统计

恶意流量分析基础学习_第3张图片

查看会话信息,端口IP都可以看的见

恶意流量分析基础学习_第4张图片

CTRL+F

查找数据

恶意流量分析基础学习_第5张图片

查看完整会话

恶意流量分析基础学习_第6张图片

统计 http 可以查看http请求响应数据

恶意流量分析基础学习_第7张图片

恶意流量分析基础学习_第8张图片

数据链路层:ARP欺骗

网络层:统计IP地址,找到可疑IP,IP欺骗行为、ICMP路由欺骗行为

传输层:会话劫持,洪水***,端口扫描

会话层:认证过程爆破仿冒猜测,通信完整。口令加密安全性,漏洞扫描,爬虫蜘蛛,请求域名状态,数据结构完整性

表示层:编码协商完整性,通信内容列表

应用层:通信内容合理完整性,内容安全性,行为合理性,漏洞扫描注入,***心跳,邮件***,路由***