wireshark数据流分析-学习日记day1

参考内容：

Wireshark Tutorial: Display Filter Expressions (paloaltonetworks.com)

过滤器三态：

红色表示语法不合法

黄色表示合法语句但无法执行（3版本）

但是4版本会表绿并搜索http

绿色表示正确语法有结果

 布尔表达式

过滤流量

HTTP 请求：http.request

ssdp:ssdp

简单服务发现协议，此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址

练习1-5

统计一下

可疑文件fre.php

过滤http，https除去ssdp

(http.request or tls.handshake.type eq 1) and !(ssdp)

发现请求指向 URL http://194.55.224[.]9/liuz/five/fre.php

报告即可

练习2-5

作者说是标准变体 IcedID （Bokbot）

一样过滤

http.request or tls.handshake.type eq 1

发现

根据

Fork in the Ice：IcedID 恶意软件分析 |美国证明点 (proofpoint.com)

发现这些域名都是相关域名

报告即可

创建筛选器按钮以简化过滤

过程如图所示

创建过后会在最后生成快捷键使用时点击即可

 过滤非 Web 流量

练习3-5

作者说是Ave Maria RAT（也称为 Warzone RAT）的远程访问工具 （RAT） 恶意软件生成的感染后流量

过滤非网络流量

(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0) or dns) and !(ssdp）

找到特征Ave Maria（恶意软件家族） (fraunhofer.de)

报告

 过滤 FTP 流量

练习4-5

 筛选ftp流

ftp.request.command or (ftp-data and tcp.seq eq 1)

发现用户 密码 和 发送html到服务器的STOR命令

追踪tcp流

发现命令过程

报告

 电子邮件流量

练习5-5

作者说：Spambot 恶意软件可以将受感染的主机变成旨在不断发送电子邮件的垃圾邮件机器人。

所以会有大量的smtp文件，过滤一下

smtp or dns

继续过滤 smtp

smtp.req.command

发现10.3.16.101对多个服务器上的ip发送了请求，但是部分加密了

继续过滤非加密请求

smtp.data.fragment

追踪tcp流发现垃圾邮件

上报