wireshark实战操作

使用wireshark分析不同攻击流量

1、暴力破解

短时间内产生大量流量，且只有某个或多个参数在变化

用bp做的爆破测试，不到一分钟的时间…

2、冰蝎

流量通常是加密的，存在明显的冰蝎特征

如Accept::*/*;q=0.01 Connection:keep-alive(冰蝎默认长链接)

建立连接后的cookie存在特征字符。所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；

请求头中可能包含Pragma: no-cache ,Cache-Control: no-cache

3、蚁剑

• 每个请求实体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符

• 使用 随机数+响应内容+随机数使用base64加密的payload，数据包存在以下base加密的eval命令，数据包中的payload几个分段内容都是用了base加密，解密之后可以看到相关的路径和命令等。

4、菜刀

ⅰ. 请求包中 ua头为百度爬虫，火狐

ⅱ. 请求实体中存在eval，base64等特征字符

ⅲ. 请求实体中传递depayload为base64编码，并且存在固定的Base64编码