护网|流量分析 (护网面试题)


文章目录

    • Webshell流量交互的流量特征
    • 批量检查http服务
    • 数据库短时间内查询异常次数增多
      • SQL查询异常流量分析的思路
    • 流量分析溯源的思路
    • wireshark简单的过滤规则
    • 常见取证分析工具

Webshell流量交互的流量特征
1)Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统 函数,例如eval、z0(菜刀特征)、shell.需监控这些关键的函数,具体需要查看 是哪个网页发起的请求进行鉴别。 2)Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误 报,一般与eval数量对比,数量差异较小时可能被上传webshell进行编码通讯。 3)除了系统函数、base64编码通讯外,还存在int_set(“display_errors",0").为 Webshell流量特征之一。 4)还可以监控ifconfig whoami ipconfig等关键命令,这是获得Webshell后基本 上都会执行的命令。

批量检查http服务
方法一:直接使用nmapsV.py工具即可,用法为python3nmapsV.py ip.txtresult.txt 方法二:使用nmap工具扫描,带上-sV参数进行版本识别即可,将待检测的IP地址/地址段添加进ip.txt文件中。 使用命令nmap-sV-ilip.txt-oAOUTPUT--no-stylesheet,扫出来的结果导出 nmap文件,使用nampReport 工具得出结果。

存活性探测的简要步骤
使用nmap工具进行存活性探测使用nmap,命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet 在Linux中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活IP

数据库短时间内查询异常次数增多 SQL查询异常流量分析的思路
1、数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】,可以结合流量分析工具进行研判2、【select】 和【union】为数据库查询语句特征,当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描,可监控这两个关键字,但还需 要进一步查看具体请求参数。如: 1)使用wireshark打开抓取后的流量包 2)对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较大的IP 3、尝试定位一些基本的注入特征(select、union、()、/*、sleep等)

流量分析溯源的思路 【护网|流量分析 (护网面试题)】假设发现web应用服务器发现文件异常增多,初步怀疑被上传webshell,描述流量分析溯源的思路
可利用流量工具进行溯源:
1)查看eval、z0、shell、whoami等关键字,查看出现次数过多的时候,可能 需要查看是哪个页面发起的请求,有可能是webshell 2)通过 WireShark 工具快速搜索关键字,定位到异常流量包 3)找出异常IP和所上传的内容,查看是否为webshell

如何定位到攻击IP:
1)首先通过选择-统计-对话查看流量的走向情况,定位可疑的IP地址 2)根据定位到的IP地址,尝试对上传的webshell进行定位ip.addr ==ip &&http matches "uploadleval|select|xp_cmdshell"&& http.request.method == "POST" 3)查找到 Webshell后尝试溯源漏洞位置,http.request.uri contains“webshell.php”,定位到最开始webshell执行或上传的时候 4)根据最开始的HTTP上传包或者其他漏洞特产定位漏洞类型

wireshark简单的过滤规则
【过滤ip】:过滤源ip地址:ip.src1.1.1.1; 目的ip地址:ip.dst1.1.1.1; 【过滤端口】:过滤80端口:tcp.port80,源端口:tcp.srcport80,目的端口:tcp.dstport==80 【协议过滤】:直接输入协议名即可,如http协议http 【http模式过滤】:过滤get/post包http.request.mothod=="GET/POST"

常见取证分析工具 wireshark、xplico、volatility、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor

    推荐阅读