流量分析实战教学：攻守道下的攻击溯源与防御

1. 数据库配置信息获取分析

1.1 数据库配置文件特征

PHP网站：通常存储在config.php、database.php等文件中
Java网站：可能存储在datasource.xml、config.xml、config.properties等文件中
常见关键字：hostname、dbname、username、password、jdbc

1.2 分析技巧

筛选条件：
- 攻击者IP发出的请求：ip.addr == 192.168.32.189
- 返回包由webshell请求：http.response_for.uri contains "a.php"
- 状态码200的响应
搜索策略：
- 直接搜索返回包中的关键字：host、dbname、password、dbpwd
- 当常规筛选无效时，考虑流量包可能缺失请求包，只记录返回包的情况
实战发现：
- 使用dbhost字段搜索可有效定位目标数据包
- 注意流量记录不完整的情况，可能需要扩大搜索范围

2. 邮箱账号密码获取分析

2.1 数据库查询方式分析

两种可能途径：
- 通过webshell连接数据库（HTTP流量）
- 通过数据库工具直接连接（TCP流量，如MySQL）
网络拓扑分析：
- 确认web服务器存在双网卡（对外网卡和数据库通信网卡）
- 数据库地址：10.3.3.101

2.2 邮箱登录特征分析

正常登录特征：
- 成功登录返回JSON格式：{"success":true}
- Cookie中可能包含login_name参数
密码加密分析：
- 加密方式：AES加密
- Key：1234567812345678的MD5哈希值
- IV偏移量：1234567812345678
- 需要获取加密模式(mode)和填充类型(padding)
攻击溯源：
- 使用条件：(http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59
- 发现大量爆破痕迹，可能未通过数据库获取密码
- 数据库查询时间早于配置文件读取时间，说明密码可能通过其他方式获取

3. VPN登录与内网渗透分析

3.1 VPN账号发现

搜索方法：
- ip.addr == 192.168.94.59 and http contains vpn
- 发现尝试使用luzhihao账号登录但失败
- 最终成功使用xingh账号连接VPN
VPN服务器信息：
- VPN服务器IP：192.168.32.131

3.2 攻击者VPN IP定位

流量统计方法：
- 使用Wireshark的流量统计功能
- 分析VPN服务器返回给攻击者的IP流量
攻击者IP确认：
- 10.3.4.3向10.2.4.96发送大量数据包
- 10.3.4.3主动发起ICMP ping请求（10.3.4.55和10.3.4.96）
- 10.3.4.3发起共享请求，10.3.4.96回应
- 结论：攻击者VPN IP为10.3.4.3

4. 攻击全流程总结

攻击链条：
- 获取webshell → 读取数据库配置 → 获取邮箱凭证 → VPN渗透 → 内网横向移动

分析思路图：

[初始入侵] → [Webshell获取] → [配置文件读取] → [数据库访问]
  ↓                                    ↓
[邮箱爆破] ← [密码解密]           [内网扫描]
  ↓                                    ↓
[VPN登录] ← [邮件信息收集]       [权限提升]
  ↓
[内网渗透]

5. Cobalt Strike DNS隧道特征分析

5.1 DNS隧道远控特征

流量表现：
- 大量异常的DNS查询数据包
- 域名通常具有伪装性（如a1iyun.com类似正规域名）
检测难点：
- 执行的命令不会在流量中明文出现
- 域名设计具有高度迷惑性
检测方法：
- 分析DNS查询频率和模式
- 结合威胁情报库验证可疑域名
- 监控异常的长域名查询

6. 防御建议与最佳实践

数据库防护：
- 配置文件不应明文存储敏感信息
- 数据库连接使用最小权限账户
- 实现数据库网络隔离
邮箱安全：
- 实施多因素认证
- 监控异常登录行为
- 避免在数据库中存储明文密码
VPN安全：
- 严格管理VPN账户权限
- 监控VPN登录行为
- 实施网络分段，限制VPN用户访问范围
流量分析能力：
- 建立完整的流量记录机制
- 开发自动化异常流量检测工具
- 定期进行红蓝对抗演练
Cobalt Strike防御：
- 监控异常DNS查询模式
- 实施DNS查询内容审查
- 限制外部DNS解析权限

通过本教学文档，安全人员可以系统掌握从流量分析中溯源攻击行为的方法论，并建立相应的防御体系，实现真正的"攻守道"平衡。

流量分析实战教学：攻守道下的攻击溯源与防御 1. 数据库配置信息获取分析 1.1 数据库配置文件特征 PHP网站：通常存储在 config.php 、 database.php 等文件中 Java网站：可能存储在 datasource.xml 、 config.xml 、 config.properties 等文件中常见关键字： hostname 、 dbname 、 username 、 password 、 jdbc 1.2 分析技巧筛选条件：攻击者IP发出的请求： ip.addr == 192.168.32.189 返回包由webshell请求： http.response_for.uri contains "a.php" 状态码200的响应搜索策略：直接搜索返回包中的关键字： host 、 dbname 、 password 、 dbpwd 当常规筛选无效时，考虑流量包可能缺失请求包，只记录返回包的情况实战发现：使用 dbhost 字段搜索可有效定位目标数据包注意流量记录不完整的情况，可能需要扩大搜索范围 2. 邮箱账号密码获取分析 2.1 数据库查询方式分析两种可能途径：通过webshell连接数据库（HTTP流量）通过数据库工具直接连接（TCP流量，如MySQL）网络拓扑分析：确认web服务器存在双网卡（对外网卡和数据库通信网卡）数据库地址： 10.3.3.101 2.2 邮箱登录特征分析正常登录特征：成功登录返回JSON格式： {"success":true} Cookie中可能包含 login_name 参数密码加密分析：加密方式：AES加密 Key： 1234567812345678 的MD5哈希值 IV偏移量： 1234567812345678 需要获取加密模式(mode)和填充类型(padding) 攻击溯源：使用条件： (http contains "{\"success\":true}" or http.request.method=="POST") and ip.addr==192.168.94.59 发现大量爆破痕迹，可能未通过数据库获取密码数据库查询时间早于配置文件读取时间，说明密码可能通过其他方式获取 3. VPN登录与内网渗透分析 3.1 VPN账号发现搜索方法： ip.addr == 192.168.94.59 and http contains vpn 发现尝试使用 luzhihao 账号登录但失败最终成功使用 xingh 账号连接VPN VPN服务器信息： VPN服务器IP： 192.168.32.131 3.2 攻击者VPN IP定位流量统计方法：使用Wireshark的流量统计功能分析VPN服务器返回给攻击者的IP流量攻击者IP确认： 10.3.4.3 向 10.2.4.96 发送大量数据包 10.3.4.3 主动发起ICMP ping请求（ 10.3.4.55 和 10.3.4.96 ） 10.3.4.3 发起共享请求， 10.3.4.96 回应结论：攻击者VPN IP为 10.3.4.3 4. 攻击全流程总结攻击链条：获取webshell → 读取数据库配置 → 获取邮箱凭证 → VPN渗透 → 内网横向移动分析思路图： 5. Cobalt Strike DNS隧道特征分析 5.1 DNS隧道远控特征流量表现：大量异常的DNS查询数据包域名通常具有伪装性（如 a1iyun.com 类似正规域名）检测难点：执行的命令不会在流量中明文出现域名设计具有高度迷惑性检测方法：分析DNS查询频率和模式结合威胁情报库验证可疑域名监控异常的长域名查询 6. 防御建议与最佳实践数据库防护：配置文件不应明文存储敏感信息数据库连接使用最小权限账户实现数据库网络隔离邮箱安全：实施多因素认证监控异常登录行为避免在数据库中存储明文密码 VPN安全：严格管理VPN账户权限监控VPN登录行为实施网络分段，限制VPN用户访问范围流量分析能力：建立完整的流量记录机制开发自动化异常流量检测工具定期进行红蓝对抗演练 Cobalt Strike防御：监控异常DNS查询模式实施DNS查询内容审查限制外部DNS解析权限通过本教学文档，安全人员可以系统掌握从流量分析中溯源攻击行为的方法论，并建立相应的防御体系，实现真正的"攻守道"平衡。