wireshark可疑网络攻击处理方式_第1页
wireshark可疑网络攻击处理方式_第2页
wireshark可疑网络攻击处理方式_第3页
wireshark可疑网络攻击处理方式_第4页
wireshark可疑网络攻击处理方式_第5页
已阅读5页,还剩7页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、标准文档可疑网络攻击处理方式1 . Wireshark安装使用1.1 下载 wiresharkWireshark 前称Ethereal 是一个网络封包分析软件.网络封包分析软件的功能是撷取 网络封包,并尽可能显示出最为详细的网络封包资料.我们使用wireshark在网络出口处抓包并进行针对性分析工作.Wireshark是开源免费的,可以在官方网站上下载,目前最新版本是1.6.4,下载地址为 : /download.html. 国内有 netexpert 修改的中文内核版,可分析包含中文的数据封包,下载地址为 :/ netexpert /wireshark/ .1.2

2、安装 wireshark安装过程以1.6.4版本为例,步骤如下:下载好的安装程序wireEliark&w in32-l .6. 4.双击安装不要更改默认设置,一直 Next下去,很快即可安装成功.实用文案标准文档Wireshark 需要winpcap的支持,会自动安装 WinPcap .如果主机已安装 WinPcap ,这步可取消勾选.1.3 启动 wireshark在“开始“程序菜单里找到wireshark,点击启动.启动后如下图:实用文案标准文档Th«: TiresliKFk Wetvork AAalyxer lireshark 1.6. 4 (SVH R整v 39941

3、 fr ob. 6)1File 印it 由ew go Rapture Analyze Statistics Teleplnan Tools Internals HelpExprtssiojt.Filler.The World's Most Popular Network Protocol AiVersion 1.6.4 (SVN Rev 39941 from /Vunk-1.6)Captu,后FilesInterface ListU般a list of Uh* capture inMrF白亡空 (counts inclining packets)j OpenOp*n a previou

4、slyRl«Start captire on interface:Open Recent:VMware AcceleratecI AMD PCNet Adapter细 Capture OptionsStart a caotur 词出 +taikd odUoti&命 Sample Captures一A rich assortment ©F "ample: capture files 口n the wiki1.4开始抓包| The TireshvkBe twork或erVireshark 1.6.4 GV¥ ReiFile Edit ViewGo C

5、apture AnalyzeStatistics Telephony Tools点击“Capture a Interface : 将显示所有可用的网络接口:9Interfaces.Ctrl+I.Options, h.Ctrl*郎StartCtrl+E遂StopCtrl-bE2RestartCtrl+R国 Capture Filters.Filter:Captureost Populaev 39941 fror实用文案标准文档点击相应网卡的“ Start按钮之后,系统将开始抓包:CApturide fron Ylw-we Acc*1 air411 el MDAd.pt.irir«Eh&

6、#171;rk 1« 6. 4tevi Ek 於941 fr» .nx|File Edit View Qp 匚aptun© 即的貂 Statistics Telephony Tods Interrt Hefei斯翻续修河出国隔es '微暗色wFilter:*| ExpreSS1OD.wNo.1 Tirib«|ScngjriC't| Dbx tian-tiO'fi.|Protocol |LtHflb I Info l=i11 r_3g ?, 37904?192,163,1,1192,168.11,44ICMP74 Echo (pnn

7、g) reply110 2.9740E2 Dell_b0:9tt:09BroadcastARP60 who has 192.16S.11.10111 3.37444112.16311-441921168.1.1ICMP74 Echo (pinq5 request12 3.379356192,158.11.41ICMP74 Echo 卬"Ing) reply13 九895m56 Cel l_b0:9h:09eroadcastARP60 Who his 192.168-11.:L0114 4.3 743 511L92.1&8.L.1I

8、CMP74 Echo (ping) request115 4. 3 7860312,163.1,14ICMP74 Echo Cpinq) replyjIS 4.91521 DeTI_bO: 9b:Ci9BroadcastARP60 Who has 192.168.11.JLOI17 5. 373172 4L92.1G3.1.1ICMP74 Echo (plng) requestj18 5.376072192.16S.1.11ICMP74 Echo (pnng) reply119 5.94749 Del 1 Jo0:gb:0

9、gBroadcastARP60 昉q has C120 6.3 74387192,168.11.44192,168.1,1ICMP74 Echo (ping) request121 6. 3 79194 192,163.1.11ICMP74 Echo (plng) replyj22 7,3 74337192,1GB, 11.44192,168,1,1ICMP74 Echo (ping) requesti23 7.373337 ICMP74 Echo (ping) replyiI提取电信提供的攻击数据特征,

10、特征表格可能会如下格式:FPPFFPFFPPPFF TCTCTCTCTCTCTCTCTCTCTCTCTCDEFGSrc IF AddrBst IP AddrSrc FtBst Ft112.67, 215. 49222. 247. 48, 1811267001113.244 138 122222.247.48 16910534009222.247 46.189110.204.14 22740091103112.66 114. 224222.247.48#163;22, £47. 48, 189123 68. 129, 19540051050119.41, 15

11、2. 159222. 247. 48, 18821727001112,67,219,222222.247.40, 18811e6T001113.244. 19&, 184222. 247. 48, 189132740096222.247 48 169119340090222.247.48 16911014009222.247 46.1691L0.204.8 14440091143222 247 48 109123.68 171.20240091175113. 244. 138, 122222. 247.48e

12、 i ciianon根据表格,可以整理出重点IP和端口.例:如果表格说明网络向IP为25 的80端口发起攻击,应该使用wireshark 进行如下操作.2 . Wireshark 过滤找到重点IP和端口后,即可对 wireshark的数据包进行过滤,要求只显示所需的数据.在Filter栏里写上过滤规那么,回车后即可对显示结果进行过滤.实用文案E to|EJ/i |lwe 七 hNq,Tim*|口1 Tl曲.dq醇Tjifc10. 00000022 0.168.4 3.12 8162.17.0,105TCP262br pd > cih1mera-hwn fC20.0

13、00000118. 25D, 164,150162,17.0110TCP132 encrypted-ackriin > chim30.0000009709TCP182dlct-lookup >chimera-40.0000005,175.1?.1010S 1514Confiriuationor non-HT50.00000059,175.132.10108 1514cont in nationr non-HT60.000000409TCP16650006

14、 > chimera-riwn P70.000000162.17,0-109110.2 04.10.139TCP182chimera-hwm >elfiq-re30.000000162.17*0.109222.247.99.S5TCP?46chimer a-hw >need2 PgO.OOOOOQ162B17P0a108124.31,111,225UDP96Source port:34 580 De10orcoooco1G2.17.0,10825UDP105source port:34580 C5A4 K - 4 4 人-r. ft. jt-.r ja

15、f l r qB -Bl c c 八 lir .标准文档File Edt View Go Capture rialyze Statistics Telsphcny Tools Internals 困匕回E3Filter :过虑规那么可用:ip.addr=ip.src=ip.dst= tcp.port=80tcp.srcport=80and例如,攻击监控显示该网络向只显示IP地址为的数据包只显示IP源地址为的数据包只显示IP目的地址为的数据包直接输协议名,只显示 协

16、议数据包只显示TCP 80端口的数据包只显示TCP源端口为80的数据包多个规那么用and逻辑与相连IP为25、端口 80发起攻击,那么使用以下规那么:ip.dst=25 and tcp.port=80YItste Accelei-ated ABD FCIet Adapter Virtshark 1.6.4 (SV¥ Rev 3994File Edit View GoCapture AnalyzeStatistics TelephonyTools Internals He0昌,q右畛SIFilter:ip. dst=6lP 135.169

17、-125 and tp.p«,t=0O1EkNo.I i(ne|SourceDestinti onProtocol :1 0,000000425 5 0.053773425TCP8 0*055528461.135*169.125TCP9 0,075589192,163.11.4461.13 5.169. 5 11 0.Q76718425 12 0.080045461.135*169.125 21 0

18、,155123192,163.11.4461.135.169.工25 24 0.342157425TCP25 0.342522192.16S.11.4461.135*169.12 5TCP27 0,342944192,163.11.4161,135,169,125TCP28 1.266380192.168.11,44白11M5169.125 实用文案标准文档从图中可以得出与 25 的TCP 80端口持续通信的内网IP为4 ,那么根本可以确定发起的攻击源.3 .内网机器处理3.1 主机网络分析对于上述找

19、到的内网IP地址,找到此主机的物理位置,在该主机上进行详细的分析.建议使用在主机上运行 TcpView (下载 :/ xdowns.eom/soft/8/9/2021/Soft_63809.html )或 360 网络连接查看器等工具查看 本地的具体网络连接状况:ri- TCP View - Sys i mt r nal s I . xy 玉 Gut/1rllttIs.七口Fil® Opti ons Froc-ess Vi ew HelpA T0| FID | Fmtogl | Lou.1 Adldnn | Loa.1 Fst | Kiftot. |PbartSystem&844IEXPLORE.IEXPLORE. IEXPLOBE. IEXFLDKE. IEXPLORE. System Sy st emiEXE EXEEXE EXE EXE1028 102®1028 102102844FPPFPPPFP TCTCrcTCTCrc皿团皿rnixil nnini miTLi mini mini mini mini mini mini色.面3.miniljnetbiQ5r5nmini01064Bl. 135. 163.

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论