流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

围观次数:1,116 views

1、相关的文件:

  • 原始数据报文:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise.pcap   14.2 MB(14184370字节)

  • 入侵检测系统Snort的事件TXT文件:http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-snort-events.txt   24.0 KB(24009字节)

  • 入侵检测系统Suricata事件的TXT文件:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-suricata-events.txt     suricata-events.txt   529.8 KB(529780字节)

     

2、安全告警

在监控平台上发现3个主机IP几分钟内多次告警。

1

下面场景用Wireshark软件进行分析;  第一个IP没有遭受攻击;第二个IP发现了恶意邮件;第三个IP遭受加密勒索病毒攻击。

3、深入分析:

3.1前期准备

因为要分析3个不同IP,让我们把数据报文PCAP文件分隔成3个独立的文件。在Wireshark中打开原始PCAP后,进入对话菜单如下图所示:

2

 选择IPv4选项卡,然后进行排序地址排序,然后你会看到192.168.122.52、192.168.122.130和192.168.122.132三个IP地址自动归类排序,如下图:

3

在对话框中输入:ip.addr eq 192.168.122.52可以过滤仅有192.168.122.52的数据,如下图所示(其他2个IP相同方法过滤):

4

导出过滤的仅包含192.168.122.52的数据包,如命名为:192.168.122.52-traffic.pcap,下图所示:

5
6

把3个IP保存成3个独立的PCAP文件,这样更容易检查每个主机的流量,下图所示:

7

 下面是双击单个数据报文,进去可以看到每个IP的对应得主机名和MAC地址。

8
9
10

未完待续!

 

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助