流量分析 （护网面试题）

Webshell流量交互的流量特征

1）Webshell是用来控制服务器的，在控制服务器的过程中，就会触发许多系统
函数，例如eval、z0（菜刀特征）、shell.需监控这些关键的函数，具体需要查看
是哪个网页发起的请求进行鉴别。
2）Webshell连接可能使用base64编码，正常功能也会使用base64容易引起误
报，一般与eval数量对比，数量差异较小时可能被上传webshell进行编码通讯。
3）除了系统函数、base64编码通讯外，还存在int_set(“display_errors",0"）.为
Webshell流量特征之一。
4)还可以监控ifconfig whoami ipconfig等关键命令，这是获得Webshell后基本
上都会执行的命令。

批量检查http服务

方法一：直接使用nmapsV.py工具即可，用法为python3nmapsV.py ip.txtresult.txt
方法二：使用nmap工具扫描，带上-sV参数进行版本识别即可，将待检测的IP地址/地址段添加进ip.txt文件中。
       使用命令nmap-sV-ilip.txt-oAOUTPUT--no-stylesheet,扫出来的结果导出 nmap文件，使用nampReport 工具得出结果。

存活性探测的简要步骤

 使用nmap工具进行存活性探测使用nmap，命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet
 在Linux中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活IP

数据库短时间内查询异常次数增多

SQL查询异常流量分析的思路

1、数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】，可以结合流量分析工具进行研判

2、【select】 和【union】为数据库查询语句特征，当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描，可监控这两个关键字，但还需
要进一步查看具体请求参数。如：
						1)使用wireshark打开抓取后的流量包
						2)对于抓取到的数据包筛选出HTTP协议包，在统计处筛选出短时间内流量较大的IP
3、尝试定位一些基本的注入特征（select、union、（）、/*、sleep等）

流量分析溯源的思路

假设发现web应用服务器发现文件异常增多，初步怀疑被上传webshell，描述流量分析溯源的思路

可利用流量工具进行溯源：

1）查看eval、z0、shell、whoami等关键字，查看出现次数过多的时候，可能
需要查看是哪个页面发起的请求，有可能是webshell
2）通过 WireShark 工具快速搜索关键字，定位到异常流量包
3）找出异常IP和所上传的内容，查看是否为webshell

如何定位到攻击IP：

1)首先通过选择-统计-对话查看流量的走向情况，定位可疑的IP地址
2)根据定位到的IP地址，尝试对上传的webshell进行定位ip.addr ==ip &&http matches "uploadleval|select|xp_cmdshell"&& http.request.method == "POST"
3)查找到 Webshell后尝试溯源漏洞位置，http.request.uri contains“webshell.php”，定位到最开始webshell执行或上传的时候
4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型

wireshark简单的过滤规则

【过滤ip】：过滤源ip地址:ip.src1.1.1.1;目的ip地址：ip.dst1.1.1.1;
【过滤端口】：过滤80端口：tcp.port80，源端口：tcp.srcport80，目的端口：tcp.dstport==80
【协议过滤】：直接输入协议名即可，如http协议http
【http模式过滤】：过滤get/post包http.request.mothod=="GET/POST"

常见取证分析工具

wireshark、xplico、volatility、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor