日常流量分析
Created at 2019-06-20 Updated at 2019-08-15 Category 流量分析
在分析之前,先用Wireshark工具进行统计,统计结果如下图所示
由以上统计可知,一共有7791个流量,而协议重要的就是TCP协议,以及DATA数据的传输。
分析流量包:2018-02-13-traffic-analysis-exercise.pcap, 问题:以UTC(GMT)表示的恶意活动的日期和时间。
在Wireshark中搜索ntp,可查看到时间和日期
所以时间就是最后一行的传输时间,
受影响的Windows主机的IP地址。
通过使用Wireshark查看流量以及科来上的HTTP流量分析,可看到基本上都是和10.23.1.205有关的。一般收发最多的IP就是受影响的IP地址。
故受影响的Windows主机的IP地址为10.23.1.205
受影响的Windows主机的Mac地址。
有上面已分析出受影响的Windows主机的IP地址,在科来中的诊断中可看到对应IP地址与MAC地址相对应的关系
因此,受影响的Windows主机的Mac地址是00:16:17:F9:42:E5
受影响的Windows主机的主机名。
在Wireshark中搜索kerberos.CNameString
所以受影响的Windows主机的用户名就是reginald-pc
受影响的Windows主机上的用户帐户名称。
还是在Wireshark中搜索kerberos.CNameString,多找几个
Windows主机的用户名和Windows主机上的用户名的名称的区别就是在于:Windows主机的用户名在用户名后有$。
故Windows主机上的用户名的名称是reginald.farnsworth
可能涉及哪些恶意软件。
在Wireshark中搜索tcp可看出,基本上都是ACK,可以初步判断为是恶意扫描