流量分析 (护网面试题)

文章目录

    • Webshell流量交互的流量特征
    • 批量检查http服务
    • 数据库短时间内查询异常次数增多
      • SQL查询异常流量分析的思路
    • 流量分析溯源的思路
    • wireshark简单的过滤规则
    • 常见取证分析工具

Webshell流量交互的流量特征

1)Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统
函数,例如eval、z0(菜刀特征)、shell.需监控这些关键的函数,具体需要查看
是哪个网页发起的请求进行鉴别。
2)Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误
报,一般与eval数量对比,数量差异较小时可能被上传webshell进行编码通讯。
3)除了系统函数、base64编码通讯外,还存在int_set(“display_errors",0").为
Webshell流量特征之一。
4)还可以监控ifconfig whoami ipconfig等关键命令,这是获得Webshell后基本
上都会执行的命令。

批量检查http服务

方法一:直接使用nmapsV.py工具即可,用法为python3nmapsV.py ip.txtresult.txt
方法二:使用nmap工具扫描,带上-sV参数进行版本识别即可,将待检测的IP地址/地址段添加进ip.txt文件中。
       使用命令nmap-sV-ilip.txt-oAOUTPUT--no-stylesheet,扫出来的结果导出 nmap文件,使用nampReport 工具得出结果。

存活性探测的简要步骤

 使用nmap工具进行存活性探测使用nmap,命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet
 在Linux中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活IP

数据库短时间内查询异常次数增多

SQL查询异常流量分析的思路

1、数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】,可以结合流量分析工具进行研判

2、【select】 和【union】为数据库查询语句特征,当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描,可监控这两个关键字,但还需
要进一步查看具体请求参数。如:
						1)使用wireshark打开抓取后的流量包
						2)对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较大的IP
3、尝试定位一些基本的注入特征(select、union、()、/*、sleep等)

流量分析溯源的思路

假设发现web应用服务器发现文件异常增多,初步怀疑被上传webshell,描述流量分析溯源的思路

可利用流量工具进行溯源:

1)查看eval、z0、shell、whoami等关键字,查看出现次数过多的时候,可能
需要查看是哪个页面发起的请求,有可能是webshell
2)通过 WireShark 工具快速搜索关键字,定位到异常流量包
3)找出异常IP和所上传的内容,查看是否为webshell

如何定位到攻击IP:

1)首先通过选择-统计-对话查看流量的走向情况,定位可疑的IP地址
2)根据定位到的IP地址,尝试对上传的webshell进行定位ip.addr ==ip &&http matches "uploadleval|select|xp_cmdshell"&& http.request.method == "POST"
3)查找到 Webshell后尝试溯源漏洞位置,http.request.uri contains“webshell.php”,定位到最开始webshell执行或上传的时候
4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型

wireshark简单的过滤规则

【过滤ip】:过滤源ip地址:ip.src1.1.1.1;目的ip地址:ip.dst1.1.1.1;
【过滤端口】:过滤80端口:tcp.port80,源端口:tcp.srcport80,目的端口:tcp.dstport==80
【协议过滤】:直接输入协议名即可,如http协议http
【http模式过滤】:过滤get/post包http.request.mothod=="GET/POST"

常见取证分析工具

wireshark、xplico、volatility、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor

你可能感兴趣的:(护网,python,后端,护网,面试,流量分析)