第7章 wireshark(网络安全防御实战–蓝军武器库)

防御实战–蓝军武器库是2020年出版的，已经过去3年时间了，最近利用闲暇时间，抓紧吸收，总的来说，第7章开始学习 wireshark，如果你怀疑自己的电脑中毒了，那么用wireshark可以很轻松的找到异常通信的IP地址，然后去微步在线查一下情报，看看是不是国外的恶意IP地址，黑客一般都使用国外的代理IP隐藏自己的真实IP地址，再找出恶意IP地址对应的进程，即可找到电脑里面的 ～

ailx10

网络安全优秀回答者

互联网行业 安全攻防员

去咨询

1、wireshark抓包

（1）先通过nmap进行 （快速扫描整个网络C段）

nmap -sP 192.168.0.1/24

（2）nmap首先通过ARP协议请求网络C段有哪些IP地址存活（所以蓝队检测端口扫描要注意了）

（3）nmap对存活主机扫描过程进行抓包（实线表示属于同一个会话）

ip.src == 192.168.0.1/24 and ip.dst == 192.168.0.1/24 

2、wireshark 分析

（1）statistics -》 conversations 统计通信主机活跃程度（数据包数量，数据包字节大小）

通信频率最高的ip地址 36.110.236.3，经过微步在线查询，对应的域名是 360.cn

360悄悄运行在我的电脑里，并一直与国家互联网应急中心(CNCERT/CC)保持某种通信

（2）statistics -》IO graphs 绘制可视化图表，可以看到总流量和360流量对比

（3）analysis -》expert information 异常数据包统计

• chat 蓝色：普通工作流
• note 青色：一般错误
• warning 黄色：异常错误
• error 红色：严重问题

发布于 2023-03-18 10:27・IP 属地江苏