课程信息
- 难度:基础
- 核心目标:建立案件分析的全局意识,掌握 Wireshark 基本操作
- 关键产出:学生能够独立打开流量包,使用过滤器定位关键报文,初步判断黑客 IP 与受害服务器 IP
一、案件场景引入
1.1 案件背景
本课程的实操内容与网络安全岗位的真实工作流程完全一致。
设定如下场景:某公安局网安大队接到辖区重点企业的报案,称其服务器于前夜出现异常卡顿,疑似遭到黑客入侵。运维人员排查时发现,服务器上的所有系统日志均已被清空。
攻击者在完成入侵操作后,通常会第一时间清除日志以消除痕迹。
然而,该企业的边界网关上部署了流量采集系统,事发时段所有进出服务器的网络数据包均被完整记录。最终保留下来的取证材料,是一份大小为 3.7 MB 的网络流量包文件 traffic.pcapng。
本课程的核心任务,是从这份流量数据中逐步还原攻击者的完整操作过程,最终定位其远程控制端(C2)的 IP 地址。
1.2 攻击链全景预览
在正式分析之前,先建立全局视角。任何一次完整的网络攻击,通常都遵循一套固定的阶段模型,安全行业将其称为"网络杀伤链"(Cyber Kill Chain)。其核心阶段可归纳为五步:
| 步骤 | 动作 | 通俗理解 |
|---|---|---|
| 第一步 | 侦查 | 黑客先探路,看目标有什么弱点 |
| 第二步 | 武器化 | 找到弱点后,准备对应的攻击工具 |
| 第三步 | 投递 | 把恶意代码送进去 |
| 第四步 | 安装 | 在目标机器上种下后门 |
| 第五步 | 控制 | 远程操控被入侵的机器 |
本课程的分析工作将严格按照这五个阶段推进:前三节课聚焦侦查与武器化阶段,后三节课聚焦投递、安装和控制阶段。全部课程结束时,完整的攻击链将被逐环还原。
二、工具入门:Wireshark
2.1 Wireshark 是什么
在开始案件分析之前,首先介绍本课程最核心的分析工具——Wireshark。
类比来说,医生需要显微镜来观察细胞,网络取证人员则需要 Wireshark 来观察网络数据包。Wireshark 是网络世界的"显微镜",能够将网络中传输的每一个数据包捕获并展示其完整内容。
再做一个类比帮助理解:网络通信的过程,类似于两个人写信。每封信都有一个信封和信的内容。信封上写着发件人地址、收件人地址(对应 IP 地址和端口号);信的内容就是真正传输的数据(比如一个网页请求、一张图片、一段代码)。Wireshark 能同时让你看到"信封"和"信的内容"。
2.2 分析三板斧
无论流量包多复杂,分析的基本方法论可归纳为三步:
第一步:看宏观
首先通过统计功能从宏观角度了解整个流量包的通信概况。
操作路径:菜单栏 统计(Statistics) → 会话(Conversations)
这个界面会告诉你:一共有多少个 IP 地址在通信?哪两个 IP 之间的数据量最大?通信用的什么协议?
另一个有用的统计:菜单栏 统计(Statistics) → HTTP(HTTP) → 请求(Requests)
这个界面会告诉你:所有的 HTTP 请求都访问了哪些路径。
第二步:学过滤
一个流量包里可能有几千甚至几万个数据包。不可能一个一个看。Wireshark 提供了过滤器,让你从海量数据中精准定位你关心的内容。
过滤器在 Wireshark 主界面的顶部,有一个输入框,背景色为绿色(语法正确时)或红色(语法错误时)。
常用过滤语法:
| 过滤表达式 | 含义 |
|---|---|
http | 只显示 HTTP 协议的数据包 |
tcp.port==80 | 只显示 80 端口的 TCP 流量 |
ip.addr==192.168.38.133 | 只显示跟这个 IP 地址相关的流量 |
http.response.code==404 | 只显示返回 404 状态码的 HTTP 响应 |
还有一种不是过滤器,但同样重要的搜索方式:字符串搜索。快捷键 Ctrl+F,可以在数据包内容中搜索任意关键字,比如搜索 password、key 这类敏感词。
第三步:追底层
当你锁定了一个可疑的数据包后,想看这个数据包所在的"完整对话"(一来一回的请求和响应),就用追踪流功能。
操作路径:右键点击目标数据包 → 跟踪流(Follow) → TCP流(TCP Stream)(或 HTTP流(HTTP Stream))
这个功能会把这一次完整的"对话"按顺序展示出来。红色文字是客户端发出的数据,蓝色文字是服务器返回的数据。
三、实操:初步探索流量包
3.1 打开流量包
在实验机上启动 Wireshark,加载 traffic.pcapng 文件。
操作路径:文件(File) → 打开(Open) → 选择 traffic.pcapng → 点击 打开(Open)
打开之后,你会看到主界面上密密麻麻地罗列了大量的数据包。每一行就是一个数据包,从上到下按时间顺序排列。
3.2 练习一:看报文总数
观察 Wireshark 界面右下角的状态栏,上面会显示 分组(Displayed): 10423,这就是当前数据包的总数。
先记下这个数字,有个整体的量级感知。
3.3 练习二:判断黑客 IP
在过滤器输入框中输入 http,然后按回车。
现在界面上只剩下 HTTP 协议的数据包了。观察 Source(源地址)这一列。你会发现有大量的请求都是从同一个 IP 地址发出的。
[课堂互动]:观察统计结果,发起请求最频繁的 IP 地址是哪个?
分析方法:菜单栏 统计(Statistics) → 会话(Conversations) → 切换到 IPv4 标签页 → 按 Packets 列降序排列。
排在最前面、数据包数量最多的那个 IP,大概率就是黑客的 IP。因为黑客在进行扫描的过程中,会在短时间内发出大量请求。
结论:发起请求的源 IP 为 192.168.38.137,这就是黑客的 IP 地址。被访问的目标 IP 为 192.168.38.133,这是受害服务器。
3.4 练习三:判断目标服务类型
继续在 HTTP 过滤视图下,点开一个服务器返回数据的响应包(比如状态码为 200 OK 的数据包),展开 Hypertext Transfer Protocol 部分。
重点观察 HTTP 响应头中的 Set-Cookie 字段。你会发现服务器给浏览器下发的 Cookie 名称叫 laravel_session。这是 PHP Laravel 框架默认的会话 Cookie 名称。同时,在 X-Powered-By 字段中通常能看到 PHP 的标识。这两个特征结合,足以证明目标服务器上运行的是一个基于 PHP Laravel 框架开发的 Web 应用。
这个信息后面会用到。先记住:目标是一个 Laravel 应用。
四、本节小结
本节课完成了以下三项任务:
- 了解了案件背景和全天的分析思路(网络杀伤链五步法)
- 掌握了 Wireshark 的三个核心操作:统计、过滤、追踪流
- 初步判断了黑客 IP(192.168.38.137)和受害服务器 IP(192.168.38.133),确认目标是 Laravel 应用
下一节课将回答第一个取证问题:攻击者使用了什么工具对目标进行扫描?
Comments NOTHING