流量分析练习

流量分析实例

一、远控抓包分析

1. 使用C++编写基于TCP协议通信的客户端和服务端程序。
2. 将服务端编译好放到虚拟机，将客户端在真机上编译好。
3. 虚拟机运行Wireshark编写捕获过滤器：tcp and port 1234开始捕获
4. 运行虚拟机的服务端，运行真机的客户端，观察Wireshark（识别三次握手）
5. 在客户端输入一些内容，观察Wireshark
6. 在客户端输入quit观察Wireshark（识别四次挥手）
7. 从捕获到的流量包中提取内容（输入信息及图片）

开始分析

三次握手：

四次挥手：

使用统计分析功能流追踪观察流量内容：
我在客户端依次输入：

• hello
• lookover（让服务端返回截屏）

果然能看到，一模一样，后面的看起来像乱码的数据是图片数据

提取图片：保存为.jpg格式

查看图片：

二、远程木马报文分析

1. 统计木马进行了几组会话，观察通讯的端口是否一致
   统计端口会话功能：一共有8组会话，A的端口一直在变，B端口不变，AB通信的包大小总是91K。
   
   通过过滤器筛选显示tcp.flags.syn==1&&tcp.flags.ack==0，右击包-对话着色给不同的流加上不同的颜色以便区分。
   

2. 清除过滤器，根据会话追踪流，合并数据
   会话1：传输了客户端的用户/系统信息
   
   会话2：
   
   会话3：
   
   会话4-会话8也都是图片，和会话3一样，把六张图片一一提取出来。

3. 最终发现第五张图片保存了用户的密码
   

大黑阔CTF题目

题目要求:

• CTF就是夺旗对抗大赛
• 找到形如 flag{XXXX-XXXX-XXXX}的数据进行提交
• 找到分析点
• 找到他们聊了些什么
• 找到flag

流量分析:

用Wireshark打开大黑客流量包,简单预览发现总共14295条记录,肯定是不能一条条分析的,必须先多虑掉无用信息。

建立过滤规则，通过协议分级统计功能：该会话主要基于HTTP协议的，把该项作为过滤器应用。

流量记录还是很多，继续丰富过滤规则，通过端点会话统计功能：大黑阔进行了10组会话，其中有三组会话包内容没有达到1K，包也较少，可以排除是聊天内容。过滤条件有了：192.168.169.130和192.168.40.42：80的会话

建立规则后，因为A的端口是变化的，所以要删除A端口的过滤规则

到这一步剩下的记录已经不是很多了，看看还能不能过滤，开头看到一连串的请求响应，长度也比较有规律，可以看到请求包显示的发送方和接收方分别是haiou和haozi，响应包没聊天内容可以过滤

建立过滤规则，选择长度列，过滤选择与非选中，过滤掉所有无用信息
过滤规则已经建好，信息从一万多条到几十条，也可以看到聊天内容了，提取聊天信息

hi
i am here what?
next week
we can go somewhere to have a rest
where are you going?
i don't have idea
how about tangshang
.
but i was born in tangshan
wow....
then how about tianyahaijiao
sound like not bad
where is that?
i...do not know
but i can check in my map img
if it is a place with water...
then?
i can not swim
god...
then...you dont want go anywhere?
i have no idea
how about wangsicong 100?
what mwaning?
how about wangsicong 100?
guominlaogong
lol...
what is 100?
his family has alot of building..you know..
yes...
but i really do not know the way
can you show me the way in the map?
ok
upload to me
ok
[img map]
see that?
yes
well!
en..

提取了两个大黑阔的聊天内容和一副地图图片，通过聊天内容大黑阔想去王思聪家里建的第一百座大楼，云南昆明市

在地图上找到这个地点，这里需要使用图片软件调一下，不然看不清

邮件的追踪

题目要求：

• 识别SMTP的文本
• 识别SMTP的二进制信息
• 从文本里能得到什么有用信息？
• 从二进制里能得到什么信息？
• 得到的二进制数据能否直观的看到？
• 解决你遇到的问题

流量分析：