恶意流量分析基础学习
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。
(2)显示过滤器,刷选关心的协议字段。可以参考expression
一般来说,可以过滤,IP,端口,协议,
(3)协议统计
点击统计,选择协议分级统计,可以看到使用的协议统计
查看会话信息,端口IP都可以看的见
CTRL+F
查找数据
查看完整会话
统计 http 可以查看http请求响应数据
数据链路层:ARP欺骗
网络层:统计IP地址,找到可疑IP,IP欺骗行为、ICMP路由欺骗行为
传输层:会话劫持,洪水***,端口扫描
会话层:认证过程**仿冒猜测,通信完整。口令加密安全性,漏洞扫描,爬虫蜘蛛,请求域名状态,数据结构完整性
表示层:编码协商完整性,通信内容列表
应用层:通信内容合理完整性,内容安全性,行为合理性,漏洞扫描注入,***心跳,邮件***,路由***
转载于:https://blog.51cto.com/antivirusjo/1981506