dede 如何做视频网站,网站做拓扑图编辑,东西湖网站建设公司,wordpress自定义头像上传wireshark wireshark中有捕获过滤器和显示过滤器 常用的捕获过滤表达式#xff1a; 常见的显示过滤表达式#xff1a; 语法#xff1a;
1.过滤IP#xff0c;如来源IP或者目标IP等于某个IP
例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者 ip.addr eq 1… wireshark wireshark中有捕获过滤器和显示过滤器 常用的捕获过滤表达式 常见的显示过滤表达式 语法
1.过滤IP如来源IP或者目标IP等于某个IP
例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP
2.过滤端口
例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port 80 tcp.port eq 2722 tcp.port eq 80 or udp.port eq 80 tcp.dstport 80 // 只显tcp协议的目标端口80 tcp.srcport 80 // 只显tcp协议的来源端口80 udp.port eq 15000
过滤端口范围 tcp.port 1 and tcp.port 80
3.过滤协议
例子: tcp udp arp icmp http smtp ftp dns msnms ip ssl oicq bootp 等等 排除arp包如!arp 或者 not arp
4.过滤MAC
MAC地址全称叫媒体访问控制地址也称局域网地址以太网地址或者物理地址。MAC地址用于在网络中唯一标示一个网卡一台设备若有一或多个网卡则每个网卡都需要并会有一个唯一的MAC地址用来定义网络设备的位置。
太以网头过滤 eth.dst A0:00:00:04:C5:84 // 过滤目标mac eth.src eq A0:00:00:04:C5:84 // 过滤来源mac eth.dstA0:00:00:04:C5:84 eth.dstA0-00-00-04-C5-84 eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的 less than 小于 lt 小于等于 le 等于 eq 大于 gt 大于等于 ge 不等 ne
5.http模式过滤
例子: http.request.method “GET” http.request.method “POST” http.request.uri “/img/logo-edu.gif” http contains “GET” http contains “HTTP/1.”// GET包 http.request.method “GET” http contains “Host: “ http.request.method “GET” http contains “User-Agent: “// POST包 http.request.method “POST” http contains “Host: “ http.request.method “POST” http contains “User-Agent: “// 响应包 http contains “HTTP/1.1 200 OK” http contains “Content-Type: “ http contains “HTTP/1.0 200 OK” http contains “Content-Type: “ 一定包含如下 Content-Type:
6.包长度过滤
例子: udp.length 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 tcp.len 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身 ip.len 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后 frame.len 119 整个数据包长度,从eth开始到最后 eth — ip or arp — tcp or udp — data Windows日志分析
Windows事件日志文件本质上是数据库其中包括有关系统、安全、应用程序的记录
记录的事件包含9个元素日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息
事件日志
Windows系统日志是记录系统中硬件、软件和系统问题的信息同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹
Windows主要有三类日志记录系统事件应用程序日志、系统日志和安全日志 系统日志 Windows系统组件产生的事件主要包括驱动程序、系统组件、应用程序错误消息等。 日志的默认位置为C:\Windows\System32\winevt\Logs\System.evtx 应用程序日志 包含由应用程序或系统程序记录的事件主要记录程序运行方面的事件例如数据库程序可以在应用程序日志中记录文件错误程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况那么我们可以从程序事件日志中找到相应的记录也许会有助于你解决问题。 日志的默认位置为C:\Windows\System32\winevt\Logs\Application.evtx 安全日志 主要记录系统的安全信息包括成功的登录、退出不成功的登录系统文件的创建、删除、更改需要指明的是安全日志只有系统管理员才可以访问这也体现了在大型系统中安全的重要性。 日志的默认位置为C:\Windows\System32\winevt\Logs\Security.evtx 系统和应用程序日志存储着故障排除信息
安全日志记录着事件审计信息包括用户验证登录、远程访问等和特定用户在认证后对系统做了什么 事件日志分析
Windows事件日志共有五种事件类型所有的事件必须只能拥有其中的一种事件类型 五种事件类型分别是信息警告错误成功审核失败审核 信息信息事件指应用程序、驱动程序或服务的成功操作的事件 警告警告事件指不是直接的、主要的但是会导致将来问题发生的问题。例如当磁盘空间不足或未找到打印机时都会记录一个“警告”事件。 错误错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载那么它会产生一个错误事件。 成功审核成功的审核安全访问尝试主要是指安全性日志这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件例如所有的成功登录系统都会被记录为“成功审核”事件 失败审核失败的审核安全登录尝试例如用户试图访问网络驱动器失败则该尝试会被作为失败审核事件记录下来。 常见的登录类型: 常见的日志分析 例题1
来源BUUCTF 被嗅探的流量 打开题目发现是pcapng图片 我们打开搜索一下带名字是flag的文件 找到一个包含flag的图片追踪tcp流 找到了flag 例题2
来源BUUCTF 数据包中的线索 过滤http数据包 在逐个追踪tcp流 在追踪的tcp流里面发现了base64编码 将base64编码转图片 得到flag
