在應(yīng)急響應(yīng)中，有時需要用到流量分析工具，。當需要看到內(nèi)部流量的具體情況時，就需要我們對網(wǎng)絡(luò)通信進行抓包，并對數(shù)據(jù)包進行過濾分析，最常用的工具是Wireshark。

• Wireshark是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是獲取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。Wireshark使用WinPcap作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。
• 在打開Wireshark后，需要對要獲取流量的網(wǎng)卡進行選擇。在選擇網(wǎng)卡后，就可以獲取相關(guān)的數(shù)據(jù)流量包了，Wireshark界面如圖所示。

• 在應(yīng)急響應(yīng)中，對應(yīng)監(jiān)聽獲取后的流量，還需要進行提取過濾。Wireshark的篩選器可以很好地完成這個功能。Wireshark的篩選器可以找出所希望進行分析的數(shù)據(jù)包。簡單來說，篩選器就是定義了一定條件，用來包含或者排除數(shù)據(jù)包的表達式，從而達到篩選出自己想要的數(shù)據(jù)包的目的。篩選器也支持與(and)、或(or)、非(not)等邏輯運算符，可以提高篩選效率。

常用的過濾器命令

對特定IP進行過濾

• 使用【ip.addr == ip】命令，可對特定IP地址進行過濾。對192.168.198.225IP地址進行過濾，如圖所示。

• • 

對指定的源IP地址進行過濾

• 使用【ip.src == ip】 命令，可對指定的源IP地址進行過濾。對源IP地址192.168.198.225進行過濾，如圖所示。

• • 

對協(xié)議進行篩選

• 直接輸入HTTP、HTTPS、SMTP、ARP等協(xié)議進行篩選，如圖所示。

• • 

對端口進行過濾

• 使用【tcp.port == 端口號】或【udp.port ==端口號】命令，可對端口進行過濾。使用【tcp.port==445】命令對445端口進行過濾，如圖所示。

• • 

對關(guān)鍵字進行檢索

• 使用【tcp contains strings】命令，可對數(shù)據(jù)包中的關(guān)鍵字進行檢索，對流量中包含某一關(guān)鍵字的數(shù)據(jù)包進行篩選。使用【 tcp contains baidu】命令進行篩選baidu關(guān)鍵字，如圖所示。

• • 

永痕之藍利用

• 以MS17-010流量分析為例，具體介紹相關(guān)用法。MS17-010是“永痕之藍”漏洞，自2017年被曝光后，WannaCry勒索病毒利用此漏洞迅速感染蔓延，引發(fā)標志性的安全事件。之后各種惡意軟件（無論是勒索病毒，還是挖坑軟件），在攻擊載荷中都會加入“永痕之藍”漏洞的攻擊方法。
• 打開一個獲取到的MS17-010的流量包，發(fā)現(xiàn)其中有SMB協(xié)議流量包，如圖所示。

• • 

• 因為MS17-010漏洞是通過SMB協(xié)議進行攻擊的，所以下一步可對SMB協(xié)議端口進行篩選。輸入【SMB】命令，篩選SMB協(xié)議流量，如圖所示。

• • 

• 攻擊載荷一般會發(fā)送NT Trans Request載荷，里面有大量的NOP指令，如圖所示。

• • 

• 在發(fā)送NT Trans Request載荷后，會發(fā)送Trans2 Secondary Request載荷，相關(guān)的Trans2 Secondary Request載荷會分幾個數(shù)據(jù)包發(fā)送加密的攻擊載荷，如圖所示。

• • 

• 在攻擊載荷發(fā)送完后，如果發(fā)現(xiàn)數(shù)據(jù)包中存在Multiplex ID：82數(shù)據(jù)包，說明漏洞攻擊成功，如圖所示。

• •