0x00 先說幾句

---

一看題目，很多朋友就會有疑問：市面上那麼多的安全監控分析裝置、軟體，為什麼要用WireShark來發現駭客和攻擊行為？我想說的是WireShark目前作為最優秀的網路分析軟體，如果用好了，比任何裝置、軟體都Nice。首先，它識別的協議很多；其次，WireShark其實具備很多分析功能；最主要的，它免費，既能採集又能分析，不丟包、不棄包。

我們雖然也接觸了很多監控分析裝置，但在分析中始終離不開WireShark的輔助，喜歡它的“誠實”，不忽悠、不遺漏，完完全全從原理上去認識資料。

本系列就是要拋開了各種所謂分析“神器”和檢測裝置，完全依靠WireShark從通訊原理去發現和解密駭客的各種攻擊行為。當然，僅是交流學習貼，不當之處請各位大神“輕噴”。

0x01 WireShark的常用功能

---

介紹WireShark的書籍和文章比較多，本文就不獻醜細講了，一起了解一下部分常用的分析功能。

1、抓包捕獲

選單中選擇Capture，選擇Interface，然後選擇需抓包的網路卡。

可以勾選網路卡，點選Start開始抓包。如想連續抓包設定檔案大小、定義存放位置、過濾性抓包，點選Options進行設定。

2、資料過濾

由於抓包是包含網路卡所有業務通訊資料，看起來比較雜亂，我們可以根據需求在Filter對話方塊中輸入命令進行過濾。常用過濾包括IP過濾（如：ip.addr==x.x.x.x，ip.src== x.x.x.x,ip.dst== x.x.x.x）、協議過濾（如：HTTP、HTTPS、SMTP、ARP等）、埠過濾（如：tcp.port==21、udp.port==53）、組合過濾（如：ip.addr==x.x.x.x && tcp.port==21、tcp.port==21 or udp.port==53）。更多過濾規則可以在Expression中進行學習查詢。

3、協議統計、IP統計、埠統計

協議統計：在選單中選擇Statistics，然後選擇Protocol Hierarchy，就可以統計出所在資料包中所含的IP協議、應用層協議。

IP統計：在選單中選擇Statistics，然後選擇Conversation，就可以統計出所在資料包中所有通訊IP地址，包括IPV4和IPV6。

埠統計：同IP統計，點選TCP可以看到所有TCP會話的IP、埠包括資料包數等資訊，且可以根據需求排序、過濾資料。UDP同理。

4、搜尋功能

WireShark具備強大的搜尋功能，在分析中可快速識別出攻擊指紋。Ctrl+F彈出搜尋對話方塊。

Display Filter：顯示過濾器，用於查詢指定協議所對應的幀。

Hex Value：搜尋資料中十六進位制字元位置。

String：字串搜尋。Packet list：搜尋關鍵字匹配的Info所在幀的位置。Packet details：搜尋關鍵字匹配的Info所包括資料的位置。Packet bytes：搜尋關鍵字匹配的內容位置。

5、Follow TCP Stream

對於TCP協議，可提取一次會話的TCP流進行分析。點選某幀TCP資料，右鍵選擇Follow TCP Stream，就可以看到本次會話的文字資訊，還具備搜尋、另存等功能。

6、HTTP頭部分析

對於HTTP協議，WireShark可以提取其URL地址資訊。

在選單中選擇Statistics，選擇HTTP，然後選擇Packet Counter（可以過濾IP）,就可以統計出HTTP會話中請求、應答包數量。

在選單中選擇Statistics，選擇HTTP，然後選擇Requests（可以過濾IP）,就可以統計出HTTP會話中Request的域名，包括子域名。

在選單中選擇Statistics，選擇HTTP，然後選擇Load Distribution（可以過濾IP）,就可以統計出HTTP會話的IP、域名分佈情況，包括返回值。

0x02 WireShark分析攻擊行為步驟

---

利用WireShark分析攻擊行為資料，首先得具備一定的網路協議

知識，熟悉常見協議，對協議進行分層（最好分七層）識別分析。（如果不熟悉也沒關係，現學現用也足夠）。然後，需熟悉常見的攻擊行為步驟、意圖等等。畫了張圖，不太完善，僅作參考。

0x03 後續文章初步設計

---

對於後續文章內容，初步設計WireShark駭客發現之旅--暴力破解、埠掃描、Web漏洞掃描、Web漏洞利用、仿冒登陸、釣魚郵件、資料庫攻擊、郵件系統攻擊、基於Web的內網滲透等。但可能會根據時間、搭建實驗環境等情況進行略微調整。 （By：Mr.Right、K0r4dji）