协议分析

通常情况下，大部分协议有固定的数位序列。

利用封装协议中信息，比如：IPv4的IP包头的第9个字节0x06表明它的上层协议为TCP。

特定端口的特定服务。

分析源或目标服务器的功能。当wireshark将tcp 443端口自动识别为HTTPS服务，如果hex内容没有被加密，Secure Socket Layer也没有显示协议内容，则代表协议分析错误，可能是使用AIM或者http。

测试已知协议结构可能的信息。通过DATA数据内容结构推测协议。

协议解码

在得知协议后，可以使用wireshark的Decode As重新解释协议数据

包分析

分析一个或多个数据包的内容或元数据。数据包分析常用于找出关键的数据包、制定流分析和内容重组的策略。

wireshark显示过滤器

ngrep

搜索给定的字符串

ngrep -I xxx.pcap "string to search for"

并支持BPF过滤条件，正则匹配

包过滤

流分析

流分析通常用来识别数据流模式、隔离可疑行为、分析高层次协议或提取数据。

wireshark tcp跟踪流与会话

魔数：大部分协议在0字节偏移附近的数据特征就可以被识别，文件格式也是，也具有一致得结束字符串序列，称为“尾部”。头部和尾部合成为魔数。foremost就是利用这种方法。

tcpxtract 可以用类似foremost方法查找tcp数据流的文件“格式”。

tcpxtract -f xxx.pcap -o output /

列出会话和数据流

导出tcp流

文件数据挖掘

根据文件结构分析文件内容，分析如文件发送与接受，信息发送内容等。

分析更高层传输协议

HTTP，SMTP，DNS，DHCP

SMTP

电子邮件的消息会在邮件的发送者与接受者之间的多个不同站点的通过。邮件通过本地邮件客户端，到达邮件传递代理（MSA），再传给邮件传输代理（MTA），再到达目的地邮件交换主机（MX），再到达本地邮件投递代理（MDA），最终到达对方邮箱。SMTP邮箱验证涉及base64。

邮件客户端和邮件递送代理之间有一个认证SMTP对话。

通过MAIL FROM 和RECPT TO得知接受和发送方。通过DATA的值了解内容。

从SMTP中提取附件，需要在数据包的前端和后端切除SMTP和MIME协议的结构。还有0x0D和0x0A的换行回车。

DHCP

dhcp→Bootstrap Protocol协议用于传输DHCP请求和应答数据，可以以此奖MAC地址关联到IP 地址。

流统计分析

流记录处理系统

传感器：

监听指定网段的数据流，从中提取关键信息保存为流记录。Argus，softflowd，yaf。传感器需要考虑到数据的重复收集，时间同步，边界与内部通信，资源利用，容量使用。

收集器：

一个或多个被配置为监听流记录数据并保存至硬盘的服务器。SiLK，flow-tools，Nfdump

聚集器:

使用多个收集器时，将收集到的数据汇总到一个中心节点服务器进行分析。

分析

起始标志：

一个被入侵的IP地址，域名。

值得怀疑的恶意活动时间范围。

可疑的活动端口。

异常的特定流数据。

活动模式匹配

简单模式

多对一的IP地址：针对目的IP的DDOS ；syslog服务器；目的地址是“Drop box”数据仓库；绑定在目的IP上的SMTP；

一对多的IP地址（一个IP向多个IP发送大量数据）：Web服务器；邮件服务器（源端服务器）；垃圾邮件僵尸；文件服务器；网络端口扫描；

多对多的IP 地址：p2p；大范围病毒感染；

一对一的IP：针对特定目标攻击；常规服务器通信

e.g 攻击者3次连接系统（发送TCP SYN，接受SYN-ACK，发送RST），在TCP握手前放弃连接。匹配使用TCP SYN方式的nmap端口扫描。

e.g 短的周期性连接尝试的突然停止，紧接着时间跨度长，携带更多数据的流记录，可以解释成暴力破解密码成功。

规定主机IP和端口 `host IP and (port )