사용 wireshark 고효율, 정확하게 감식 출입 서 악의적으로 흐름


사용 wireshark 고효율, 정확하게 감식 출입 서 악의적으로 흐름


이 글은 박문하다 실제로는

계속, 설명 좀 실용적인 패킷 분석 기술 을 돕 안전 架构师 들 신속, 정확하게 위치 그 악의 패킷;

지금 일각을 다투는 안전 돌발 사건 및 안전 검증 업무 중에 이런 고효율 방법을 유달리 중요한.


wKiom1Sp9lGzs5I4AAQEExq9GE4370.jpg


**********************

wireshark 네트워크 계층 주소를 확인

wireshark 중에 네트워크 계층 이름 확인 기능 및 실제 장면 DNS 해석 마침 반면 기본 상황 아래에서 wireshark 캡처 데이터 가방 안 될 네트워크 계층 원본 IP 목표 인터넷 도메인 호스트 이름을,

오직 주 메뉴 view -> name resolution ->공모하여 고르다 "enable for network layer",이렇게 될 wireshark 실시간 로컬 설정 DNS 서버 정보 보내기 확인 요청 으로, 그의 과 접수 응답, 때문에 이 과정 마침 및 순방향 해석 - 이 도메인 혹은 호스트 이름 다 IP 과정 반대로.

대부분의 상황에서 일 고르다"enable for network layer"후, 지금 wireshark 캡처 패킷 전, 도메인 이름 일은 이미 by 조작 시스템에 DNS 클라이언트 서비스 완료, 그래도 좀 소수 상황, 이 도메인 혹은 호스트 이름 다 IP 해석 은 wireshark 캡처 물어봄 패킷 후에 완성되었다, 이 확인 결과 단지 저장한다 커널 버퍼 향촌, wireshark 안 주동적으로 "업데이트" 이 정보, 그래서 니가 볼 수도, 그래도 일 뽑다 "enable for network layer", 列表中的某些数据包的 IP 地址还是无法被"反向"显示为域名或主机名.

이때 수 주 메뉴를 누르면 view -> reload , 这将强制 wireshark 从系统那里更新名称解析的结果并显示.


실제로 wireshark 요청 로컬 DNS 클라이언트 대한 도메인 이름, 로컬 DNS 클라이언트 실현 달려있다 운영 체제 를 windows server 2008 R2 SP1 중, 로컬 DNS 클라이언트 부른다

DNS Client(dnscache) , 这是一个 windows 서비스例程,


하나 박다 한숨도 서비스 진행을 걸 svchost.exe, 시작할 때 불러옵니다 줄 동적 연결 라이브러리

dnsrslvr.dll , 그리고 다중 스레드 방식 으로 시작 몇 개 DNS Client(dnscache) 服务,

그 책임 처리 모든 웹 응용 프로그램 이름 확인 요청 (제출하는 DNS 서버 혹은 보기 로컬 host 파일) 이 서비스를 사용하지 않으면, 그 어떤 인터넷 응용 프로그램, 속도, web browser 또는 wireshark 좋고 다 정상적으로 일을 이 점을 주의해야 한다.


wKioL1Sp-9PBBKupAAm0pgpt7Q4571.jpg


wKioL1SqAleixDXRAAaLV-Nagxg144.jpg


wKioL1SqBLvhJuMSAAamM7Tgjz8053.jpg

****************************



****************************

wireshark 링크 MAC 주소 확인

이 확인 유일한 가치를 갖는다 점이 있다. 그것은 장차 6 바이트 MAC 주소 중 전 3 개 16 进制 바이트 처리 위해 네트워크 장치 (예: 개인 PC 있는 네트워크 인터페이스 어댑터 및 路由器) 메이커 이름 이니셜.

주의, 전 3 개 16 进制 바이트 의해 IEEE 분배하다, 유일한 증명 각 메이커 주소를 사용할 것이며, 링크 MAC 주소 확인 바로 자기들의 변환 리더빌리티 더 메이커 위해 약어 명.

누르면 wireshark 메인 메뉴 view -> name resolution -> enable for MAC layer , 即可启用链路层 MAC 地址解析功能.

한편 누르면 주 메뉴를 통해서 statistics -> show address resolution , 在打开的对话框中, 你可以找到一个列表, 包含有 wireshark 内置的所有厂商 MAC 地址与厂商缩写的对应关系, 如下所示:


wKiom1Sp89bDAADMAAXj_OgB4QE061.jpg


주의, 설령 이 정보를 수 침투 테스트 도움 판단 목표 기반 시설 유형, 근데 이 정보 기술 수단을 통해 변경할 수 있으므로 결코 항상 정확하게 하지만 대부분의 조직 경우 우리 수 있다 생각한다, 여기 정보를 사용하는 것은 정말.

*****************************


*****************************

wireshark 관한 인증 'TCP 체크섬 "기능


보통 더, 패킷 보내기 전에, 보낸 사람 (의 TCP/IP 프로토콜 스택, 보통 로서 운영 체제 커널 구성 부분) 어떤 요약 알고리즘 사용 이 가방 계산, 이 가방 체크섬 생성, 그리고 TCP 첫 의 체크섬 필드 중 휴대; 수신자 (의 TCP/IP 프로토콜 스택) 받은 가방 대한 같은 계산 진행, 는 평가 결과 및 체크섬 필드 중 값 비교해 봤어요, 만약 두 사람 같다, 설명 데이터 전송 과정에서 완전히 잘못된 것은 없다., 만약 같다, 은 달려있다 TCP/IP 프로토콜 스택 구체적인 실현, 가능성이 있다

보낸 사람 한 타이머 그때 받은 후, 아직 선택하면 으로 보고 그 가방 전체 ACK 가방, 그럼 보낸 사람 수도 이전 다시 전해 전송 패킷 받을 때까지 선택하면 ACK 가방 때까지.


이 검증 작업은 대개 쌍방이 동작을 하다 시스템 완료, 하지만 너도 사용할 수 wireshark 인증 'TCP 체크섬 "기능 을 캡처 다 가방 을 다시 인증,

사용 wireshark 반복 검증 장점이 있다. 그것은 명확히 얘기할 수 있는 가방 하나 데이터 무결성 여부 를 위해 운영 체제 안 자동 전송 소식 알려드립니다,

누르면 주 메뉴를 통해서 edit -> Preferences , 打开首选项对话框, 点击并展开左侧的 Protocols 트리 노드 찾아서 TCP 합의 후에 관련이 있는 고르다 "Validate the TCP checksum if possible" 체크 상자, 이렇게 wireshark 표시됩니다 캡처 다 패킷 그 체크섬 올바른지.


이 기능을 사용하는, 앞에 나와 있다, 진정한 진행 확인 사실 운영 체제, 때문에 wireshark 만약 체크섬 확인 발견 오류 (이때, 정확한 체크섬 가방 이미 다시 보내기 통해 쌍방의 시스템 및 접수했다, 때문에 wireshark 캡처 ' 무거운 전해 "전 오류 검사 및 가방), 은 wireshark 거부 대해 일부 TCP 블록 가방 을 다시 조립 (비록 운영 체제 이미 정확하게 다시 조립 '무거운 전해 "가방)

따라서, 우리도 그냥 얻을 수 없는 완벽한 패킷 정보 (대개 TCP 분할 선적 응용 계층 데이터 가리킨다)

다음은 이 장 기능 설명 이 패킷 TCP 체크섬 거쳐 wireshark 인증, 정확하다:


wKiom1SqKTeTWHtZAAV3NgNzfxk513.jpg

wKioL1SqK5SAvE46AANCldrLhAA867.jpg


위 첫 장 스크린샷 것은 TCP 체크섬 거쳐 wireshark 검증 틀림없다 후 결과 만약 인증 오류, 우리 는 선택한 데이터 가방 정보 창 (위치 중간에서 창) 에서 의해 빨간 강조 TCP 머리 보고 자기들의 전개, 되는 조사해 보면 잘못된 체크섬 필드 다음과 같다 스크린샷 채 주시기 바랍니다:


wKioL1SrNSaRIVcLAA-qV29awE8300.jpg


위에서 말한 필터 표현식 말고 추가 중

 tcp.checksum_good == 0

쓸 수 보이기 모든 체크섬 잘못된 패킷 외에도 아래 이 식 도 같은 효과, 당연히 너도 콘서트 무대 오른 수 있는 "bad checksum: true" 필드 오른쪽 마우스, 팝업 컨텍스트 연속 메뉴 선택 "apply as filter" -> "selected" 같은 목적을 来达 가서 좀 스스로 실천하다!

tcp.checksum_bad == 1


잠깐 얘기 좀 할 수 있다 는 콘서트 무대 오른 똑똑히 보고 필터 나온 모든 체크섬 잘못된 패킷, 기본적으로 모두 로컬 클라이언트 (매우 아마도 웹 브라우저) 발 에 원격 웹 서버 HTTP 요청,

보통 있어서 인지되었습니다. 이 패킷 TCP 검사 및 오류, 안 너무 큰 문제가 체크섬 준 선택하면 검증 때문에 만약 보낸 사람 스스로 검증 유무 오류, 그렇게 체크섬 바로 그 존재의 의미를 잃었다;


반대로 만약 필터 목록에 보여 온 서버 복귀 HTTP 응답 패킷 그 체크섬이 맞지 그럼 전혀 다르기 때문에 이 장면 중 로컬 클라이언트 것은 선택하면, 만약 인증 오류, 는 그 는 전송 패킷 과정에서 손상 손실 또는 수도 의해 왜곡하다;

비록 쌍방의 시스템 인터넷 프로토콜 스택 아마 이미 정확하게 '무거운 전해 "패킷 하지만 이왕 wireshark 인지되었습니다' 일찍이 '착오가 그렇게 로서 네트워크 엔지니어 또는 안전 架构师 우리, 마땅히 검사 자신 이 한쪽에는 가능 의 링크 상태 (종물 도리 층 에 응용 계층) 후속 안정 없이 보내는 확보 및 수신 데이터.

*********************************



*********************************

종합 분석 기술 예를 들다1


저 한 검출된 패킷 파일 샘플 중 보통 어떤 수백 수천 개의 패킷 기다려 우리 가서 보기 어떻게 빠르게 위치 우리 관심이 정보?

다음 주 메뉴 "statistics" -> "Summary" ,지금 니가 하는 줄 열 캡처 파일 요약 정보 표시 중 가장 값진 정보 포함 캡처 첫 가방 날짜 및 시간 마지막 가방 날짜, 시간,

및 이로부터 계산 나온 전체 캡처 과정 지속 시간(elapsed),패킷 파일 안에 총 바이트, 단일 패킷 크기 제한에, 링크 패키지 종류.. 등등.



wKioL1SrRu2ihJ22AARbwv2uKs4388.jpg

앞으로 더 관심을 마땅히 이 카탈로그 파일 파악 중 모든 점 (endpoints) 및

회화(conversations)

점 한 장 수 목록 보이기 포함 캡처 가방 파일에 모든 및 지역 통신 원격 기계 IP;

세션 은 디스플레이 더 상세한 목록 한 장 포함 통신 쌍방의 및 포트 (TCP / IP UDP);

다음 스크린샷 나타냈다 는 한 카탈로그 파일 중 추출 나온 점 목록, 보통 우리는 겨우 관심을

점 IPv4. 왜냐하면 그것은 너를 도울 수 있는 지의 여부를 판단할 연결 어떠한 악의적으로 사이트 또는 기계 했을 자세한 출입 서 흐름, 사용할 세션 올 수 있습니다. 왜냐하면 그것은 로컬 포트 및 원격 포트 #:


wKioL1SrU0nAYxveAAY45Bf9FTA744.jpg


wKioL1SrWbCyYYncAAva_jxzsrc399.jpg


열 점 목록, 다음 주 메뉴 "statistics" -> "Endpoints"

열 세션 목록, 다음 주 메뉴 "statistics" -> "Conversations"

*******************************


*******************************

종합 분석 기술 예를 들다2


우리는 방문 한 사이트 때 브라우저를 다운로드 보통 필요한 많은 HTML 코드를 CSS 스타일시트 그림 자바스크립트 스크립트 파일, jepg/gif, 영상 애니메이션 가만 있어야 전체 나타나다 한 사이트 홈페이지 또한 이 자원 자주 저장소 각종 홀로 서 물리 호스트에서;

어떤 이는 심지어 사이트 홈페이지 통해 <embed> ,<iframe> 등 태그, 크로스 필드 참조 자원, 예를 들면, 각종 제삼자 광고 읽는 사용자 각 큰 검색 엔진 입력 문자열 로컬 쿠키를 더 복귀 관련 광고 내용을 javascript API 등. . . .

이러한 자원의 다 은 어떤 서버 다운 돌아올 줄 여부를 다운로드 거야 악의적으로 제삼자 사이트 에서 까지 로컬 스크립트 실행 할 수 있다 고 제외하고는 브라우저 개발자 도구 인터넷 모듈 통해 감시하는 외 (구체적인 됩니다 참조 이 글은 박문하다 : )


아직 방문 전에 먼저 시작할 수 wireshark 진행 抓包, 물론 이 없을 캡처 어떤 흐름, 그리고 부트 브라우저 방문 페이지, 이럴 때 어떤 이상한 유량 악착같으니 캡처, 시간이 지나면 후, 정지 抓包, 얻은 데이터 분석 보고서, 중간에서 찾기 어떤 거미줄.

만약에 우리 방문 한 포럼 이나 사교 사이트 칼럼을 페이지 저장소 형 跨站 스크립트 빈틈이 존재한다, 그리고 성공 공격자의 의해 이용한, 우리 브라우저 다양한 방문 이 의해 삽입된 악의적으로 사이트 링크 (만약에 니가 브라우저 설정 없이 어떤 안전 막아 제삼자 도메인 javascript 실행, 혹은 설치 비슷한 NoScript 안전 플러그인), 만약 네가 배경에서 실행될 wireshark 抓包, 되는 캡처 관련 흐름.

구체적인 더:

브라우저 방문 어떤 홈페이지 에서 인용한 제삼자 도메인 전에 다 진행할 필요가 DNS 조회 연후에 통해 얻을 수 있는 IP 주소 방문 목표 때문에 wireshark 중 필터 무슨 모든 DNS 요청 및 응답 패킷 그냥 아주 중요한;

걸러낼 (보이기) DNS 유량 가장 간단한 방법은 그냥 지금 wireshark 보기 필터 텍스트 입력 상자 속에 입력 dns 후 되돌림, 오른쪽에 있는 단추를 누르십시오 apply 단추; 그러나 이렇게 하면 디스플레이 결과 중 할 모든 로컬 보낼 요청 흐름 과 접수 응답 흐름 을 포함 보통 상황을 더 관심을 우리 는: 도대체 웹 조회 거야 어떤 도메인 IP 주소, 그리고 중간에서 밝혀지는 'evil.com' (이하의 손가락 데 꼭 기대한 또는 악의적으로 '사이트).

우선 필터 나온 모든 dns 가방, 그리고 패키지 목록 Info 열중 선택 제멋대로 한 띠고 있다 "Standard query"문자열 가방 설명 마치 그 설명 암시, 이것은 형식 기준으로 조회 DNS 요청 가방 그 뒤에는 반드시 도메인 검색 혹은 호스트 이름,

가운데에 있는 정보 창 에서 전개 그 가방 "Domain Name System (query)" 머리를 찾는 중 "Flags: 0x0100 Standard query" 필드, 그 마우스의 오른쪽, 팝업 컨텍스트 메뉴에서 연속 선택 "apply as filter" -> "selected"(수단 , 앞에서 하는 비슷한)

이렇게 하면 필터 나온 모든 DNS 조회 패키지.

똑똑한 혹시 해도 이미 의식: 직접 필터 텍스트 상자의 입력 보이기

dns.flags == 0x0100

도 같은 효과 달성, 사실은 그렇지, 아래 변경 확인:


wKiom1SrhGKy80KGAA4I3jAuHy0737.jpg

wKiom1SriFrSSUCxAA02L5Y_kfU236.jpg


기왕 브라우저 향해 4.2.2.1 요청 확인 이 도메인 주소, 그렇게 후자 여부를 정확하게 요구하는 조회 결과? 이 중요한 결정 여부. 왜냐하면 그것은 브라우저 실제 방문 "evil.com"

다음 보기 필터 표현식을 찾아낼 수 모든 DNS 응답 가방 (온 이름 서버):

dns.flags == 0x8180

wKioL1Srj6bABNwSABJxsFENSTc583.jpg

글쓴이 지은 작성일 2015-01-06 22:48