基于wireshark对基础恶意流量的分析
字数 2184 2025-08-22 18:37:15

基于Wireshark的恶意流量分析技术详解

1. 网站流量特征分析

1.1 dirsearch工具特征

工具介绍
dirsearch是一个基于Python的命令行工具,用于对Web服务器中的目录和文件进行暴力破解。

主要特征

  • 大量HTTP GET请求对路径和文件进行爆破
  • 路径有明显的顺序特征(如a开头路径跑完后跑b开头路径)
  • 多线程方式进行暴力扫描

Wireshark检测方法

  • 使用显示过滤器:http.request
  • 观察Info列中的路径顺序特征

1.2 sqlmap工具特征

工具介绍
SQLMap是一款开源的自动化SQL注入工具,支持多种数据库管理系统。

主要特征

  • 大量包含SQL语句的HTTP请求
  • User-Agent中可能包含"sqlmap"标识(强特征)

Wireshark检测方法

  • 使用显示过滤器:http.user_agent contains sqlmap
  • 过滤HTTP请求观察SQL语句特征

2. 漏洞扫描器流量特征分析

2.1 AWVS扫描器特征

工具介绍
Acunetix Web Vulnerability Scanner (AWVS)是用于测试和管理Web应用程序安全性的平台。

主要特征

  • 参数、UA、content_type中包含:test、testing、wvs、acunetix等关键词
  • POST请求的Content_type常包含"testing"

Wireshark检测方法

  • http.content_type contains "test"
  • http.request.uri.query.parameter contains "test"

2.2 Nmap扫描器特征

工具介绍
Nmap是一款针对大型网络的端口扫描工具。

主要特征

  • 大量TCP/UDP/ICMP探测包
  • 对目标IP进行端口扫描的特征

Wireshark检测方法

  • tcp && ip.dst == [目标IP]
  • 观察TCP连接尝试行为

3. Webshell管理工具流量特征分析

3.1 蚁剑(AntSword)特征

工具介绍
蚁剑是一款开源的跨平台WebShell管理工具。

主要特征

  • 明文传输(即使使用加密/编码,密码协商过程也有明文)
  • POST包中常见"display_errors"参数

Wireshark检测方法

  • urlencoded-form.value contains "display_errors"
  • 追踪HTTP流分析明文传输内容

3.2 冰蝎(Behinder)特征

工具介绍
冰蝎是一个动态二进制加密的网站管理客户端。

版本4.0主要特征

  1. 14个固定的User-Agent(常见第一个)
    • 示例:Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
  2. 请求体头部字节与响应头部字节不会变化
  3. 请求体中的key值开头固定不变

防御建议

  • 防火墙拦截Chrome/89.0.4389.114版本流量

3.3 哥斯拉(Godzilla)特征

工具介绍
哥斯拉是一款由Java语言开发的webshell权限管理工具。

主要特征

  1. 建连初期的三个固定行为(顺序出现在同一TCP连接):
    • 发送固定代码(payload),响应为空
    • 发送固定代码(test),返回固定内容
    • 发送固定代码(getBacisInfo)
  2. 响应体特征:
    • 前16位和后16位组成32位MD5值
    • 正则特征:(?i:[0-9A-F]{16})[\w+/]{4,}=?=?(?i:[0-9A-F]{16})

4. 常见C2远控服务器流量特征

4.1 Metasploit特征

工具介绍
Metasploit是一款开源的网络安全评估工具。

主要特征

  • 数据包含MZ标头和DOS模式异常
  • 两个端口持续交互(如9999和57591)
  • TCP流中有明显特征模式

Wireshark检测方法

  • 追踪TCP流观察交互特征

4.2 Cobalt Strike特征

工具介绍
Cobalt Strike提供了一套功能强大的红队操作平台。

主要特征

  1. HTTP协议特征:
    • 第一个GET请求的随机编码符合checksum8规则(路径ASCII和与256取余等于92)
  2. 心跳机制:
    • 无任务时,有规律的请求间隔(默认3秒)
    • 任务数据加密隐藏在HTTP Cookie中

5. 总结与防御建议

  1. 检测方法总结

    • 关注HTTP请求中的异常参数、User-Agent和内容
    • 观察TCP/UDP流量的交互模式和端口使用情况
    • 注意加密流量的固定特征和模式

  2. 防御建议

    • 部署WAF规则检测已知攻击特征
    • 监控异常端口通信和心跳机制
    • 对服务器日志进行实时分析,检测扫描行为
    • 定期更新防火墙规则,拦截已知恶意工具特征

  3. 进阶分析技巧

    • 结合多种特征进行综合判断
    • 建立基线,识别偏离正常行为的流量
    • 对加密流量进行深度包检测(DPI)
    • 使用威胁情报丰富分析上下文

通过掌握这些恶意流量的特征和分析方法,安全人员可以更有效地识别和防御网络攻击。

基于Wireshark的恶意流量分析技术详解 1. 网站流量特征分析 1.1 dirsearch工具特征 工具介绍 : dirsearch是一个基于Python的命令行工具,用于对Web服务器中的目录和文件进行暴力破解。 主要特征 : 大量HTTP GET请求对路径和文件进行爆破 路径有明显的顺序特征(如a开头路径跑完后跑b开头路径) 多线程方式进行暴力扫描 Wireshark检测方法 : 使用显示过滤器: http.request 观察Info列中的路径顺序特征 1.2 sqlmap工具特征 工具介绍 : SQLMap是一款开源的自动化SQL注入工具,支持多种数据库管理系统。 主要特征 : 大量包含SQL语句的HTTP请求 User-Agent中可能包含"sqlmap"标识(强特征) Wireshark检测方法 : 使用显示过滤器: http.user_agent contains sqlmap 过滤HTTP请求观察SQL语句特征 2. 漏洞扫描器流量特征分析 2.1 AWVS扫描器特征 工具介绍 : Acunetix Web Vulnerability Scanner (AWVS)是用于测试和管理Web应用程序安全性的平台。 主要特征 : 参数、UA、content_ type中包含:test、testing、wvs、acunetix等关键词 POST请求的Content_ type常包含"testing" Wireshark检测方法 : http.content_type contains "test" http.request.uri.query.parameter contains "test" 2.2 Nmap扫描器特征 工具介绍 : Nmap是一款针对大型网络的端口扫描工具。 主要特征 : 大量TCP/UDP/ICMP探测包 对目标IP进行端口扫描的特征 Wireshark检测方法 : tcp && ip.dst == [目标IP] 观察TCP连接尝试行为 3. Webshell管理工具流量特征分析 3.1 蚁剑(AntSword)特征 工具介绍 : 蚁剑是一款开源的跨平台WebShell管理工具。 主要特征 : 明文传输(即使使用加密/编码,密码协商过程也有明文) POST包中常见"display_ errors"参数 Wireshark检测方法 : urlencoded-form.value contains "display_errors" 追踪HTTP流分析明文传输内容 3.2 冰蝎(Behinder)特征 工具介绍 : 冰蝎是一个动态二进制加密的网站管理客户端。 版本4.0主要特征 : 14个固定的User-Agent(常见第一个) 示例: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_2_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 请求体头部字节与响应头部字节不会变化 请求体中的key值开头固定不变 防御建议 : 防火墙拦截Chrome/89.0.4389.114版本流量 3.3 哥斯拉(Godzilla)特征 工具介绍 : 哥斯拉是一款由Java语言开发的webshell权限管理工具。 主要特征 : 建连初期的三个固定行为(顺序出现在同一TCP连接): 发送固定代码(payload),响应为空 发送固定代码(test),返回固定内容 发送固定代码(getBacisInfo) 响应体特征: 前16位和后16位组成32位MD5值 正则特征: (?i:[0-9A-F]{16})[\w+/]{4,}=?=?(?i:[0-9A-F]{16}) 4. 常见C2远控服务器流量特征 4.1 Metasploit特征 工具介绍 : Metasploit是一款开源的网络安全评估工具。 主要特征 : 数据包含MZ标头和DOS模式异常 两个端口持续交互(如9999和57591) TCP流中有明显特征模式 Wireshark检测方法 : 追踪TCP流观察交互特征 4.2 Cobalt Strike特征 工具介绍 : Cobalt Strike提供了一套功能强大的红队操作平台。 主要特征 : HTTP协议特征: 第一个GET请求的随机编码符合checksum8规则(路径ASCII和与256取余等于92) 心跳机制: 无任务时,有规律的请求间隔(默认3秒) 任务数据加密隐藏在HTTP Cookie中 5. 总结与防御建议 检测方法总结 : 关注HTTP请求中的异常参数、User-Agent和内容 观察TCP/UDP流量的交互模式和端口使用情况 注意加密流量的固定特征和模式 防御建议 : 部署WAF规则检测已知攻击特征 监控异常端口通信和心跳机制 对服务器日志进行实时分析,检测扫描行为 定期更新防火墙规则,拦截已知恶意工具特征 进阶分析技巧 : 结合多种特征进行综合判断 建立基线,识别偏离正常行为的流量 对加密流量进行深度包检测(DPI) 使用威胁情报丰富分析上下文 通过掌握这些恶意流量的特征和分析方法,安全人员可以更有效地识别和防御网络攻击。