2.7　流量分析

在應急響應的過程中，有時需要用到流量分析，使用一般工具（如PCHunter、Process Monitor等）或相關命令（如netstat等）可以查看相關的地址連接情況，但是內部流量的具體情況卻無法查看。當要求看到內部流量的具體情況時，就需要我們對網絡通信進行抓包，并對數據包進行過濾分析，最常用的工具是Wireshark。

Wireshark是一個網絡封包分析軟件。網絡封包分析軟件的功能是獲取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPcap作為接口，直接與網卡進行數據報文交換。

在打開Wireshark后，需要對要獲取流量的網卡進行選擇。在選好網卡后，就可以獲取相關的數據流量包了，Wireshark界面如圖2.7.1所示。

在應急響應中，對于監聽獲取后的流量，還需要進行提取過濾。Wireshark的篩選器可以很好地完成這個功能。Wireshark的篩選器可以找出所希望進行分析的數據包。簡單來說，篩選器就是定義了一定條件，用來包含或者排除數據包的表達式，從而達到篩選出自己想要的數據包的目的。篩選器也支持與（and）、或（or）、非（not）等邏輯運算符，可以提高篩選效率。

常用的過濾器命令如下。

（1）使用【ip.addr ==ip】命令，可對特定IP地址進行過濾。對192.168.198.225 IP地址進行過濾，如圖2.7.2所示。

（2）使用【ip.src==ip】命令，可對指定的源IP地址進行過濾。對源IP 地址192.168.198.225進行過濾，如圖2.7.3所示。

（3）直接輸入HTTP、HTTPS、SMTP、ARP等協議進行篩選，如圖2.7.4所示。

（4）使用【top.port==端口號】或【udp.port==端口號】命令，可對端口進行過濾。使用【tcp.port==445】命令對445端口進行過濾，如圖2.7.5所示。

（5）使用【tcp contains strings】命令，可對數據包中的關鍵字進行檢索，對流量中包含某一關鍵字的數據包進行篩選。使用【tcp contains baidu】命令篩選baidu關鍵字，如圖2.7.6所示。

下面以MS17-010的流量分析為例，具體介紹相關用法。MS17-010是“永恒之藍”漏洞，自2017年被曝光后，WannaCry勒索病毒利用此漏洞迅速感染蔓延，引發標志性的安全事件。之后各種惡意軟件（無論是勒索病毒，還是挖礦木馬），在攻擊載荷中都會加入“永恒之藍”漏洞的攻擊方法。

打開一個獲取到的MS17-010的流量包，發現其中有SMB協議流量，如圖2.7.7所示。因為MS17-010漏洞是通過SMB協議進行攻擊的，所以下一步可對SMB協議端口進行篩選。

輸入【smb】命令，篩選SMB協議流量，如圖2.7.8所示。

攻擊載荷一般會發送NT Trans Request載荷，里面有大量的NOP指令，如圖2.7.9所示。

在發送NT Trans Request載荷后，會發送Trans2 Secondary Request載荷，相關的Trans2 Secondary Request載荷會分幾個數據包發送加密的攻擊載荷，如圖2.7.10所示。

在攻擊載荷發送完后，如果發現數據包中存在Multiplex ID：82數據包，說明漏洞攻擊成功，如圖2.7.11所示。