Сетевая аномалия Рекомендуемые утилиты: Wireshark...
創建於:2025年10月24日
使用 GPT-5 Thinking 回答 Chat01
問題
Сетевая аномалия
Рекомендуемые утилиты: Wireshark
Файл: traffic 9 4.pcapng
Товарищ, в наших информационных сетях обнаружена аномалия. Кажется, кто-то атакует внутренние сервисы. Требуется срочное расследование и анализ ситуации. Исследуйте запись трафика и опишите атаку.
Какой тип атаки был применён?
Выбрать
Определите IP-адрес атакующего.
Ответ
Какой программой, вероятно, пользовался атакующий для доступа к сайту? В ответ запишите только название, без версии.
Ответ
Python
pythondef list_dir(path): try: return sorted(os.listdir(path)) except Exception as e: return str(e) print("cwd:", os.getcwd()) print("/mnt/data:", list_dir("/mnt/data"))
Python
pythonprint(list_dir("."))
Python
pythonimport os pcap_files = [] for root, dirs, files in os.walk('/', topdown=True): # skip huge directories for speed if root.startswith(('/proc','/sys','/dev','/usr','/lib','/bin','/sbin','/etc','/var','/opt')): continue for f in files: if f.lower().endswith(('.pcap', '.pcapng')): pcap_files.append(os.path.join(root, f)) len(pcap_files), pcap_files[:10] (0, [])
思考
回答
Похоже, файл traffic 9 4.pcapng ещё не прикреплён — без него я не смогу разобраться в трафике и назвать точные ответы. Пожалуйста, загрузите pcap/pcapng, и я сразу разберу следующее:
Как быстро вытащить нужные ответы в Wireshark
1) Тип атаки
Сигналы по шаблонам (используйте как «чек-лист»; что найдёте — и будет типом атаки):
- SQLi: множество запросов с
' or 1=1 --,union select,%27,%3D%27, в URI/параметрах.
Фильтры:http.requestи затем в Find:(?i)(union|or 1=1|select|sleep\()frame contains "union select"/frame matches "(?i)or 1=1"
- Brute-force/credential stuffing: шквал
POSTна/login,/wp-login.php,/adminс разными логинами/паролями, много401/403.
Фильтры:http.request.method == "POST" && (http.request.uri contains "login" || http.request.uri contains "wp-login");
для кодов:http.response.code in {401,403} - Directory/Content brute-forcing (сканер директорий): тысячи
GETна несуществующие пути (/admin/,/backup.zip,/phpmyadmin, и т.п.), много404.
Фильтры:http.request && http.response.code == 404 - Path Traversal:
../в путях.
Фильтр:http.request.uri contains "../" - Сканирование портов/хостов: множество
SYNбез установления сессий.
Фильтр:tcp.flags.syn == 1 && tcp.flags.ack == 0(посмотрите «Statistics → Conversations (TCP)») - DoS/SYN flood: огромное число коротких
SYNс одного IP, много ретрансмиссий:
Фильтр:tcp.flags.syn == 1 && tcp.flags.ack == 0+ «Statistics → IO Graphs»
2) IP-адрес атакующего
- Statistics → Endpoints (IPv4) — отсортируйте по Packets/Bytes и посмотрите «подозрительного болтуна».
- Если атака HTTP-уровня:
- Statistics → HTTP → Requests (или Conversations TCP) и профильтруйте:
http.request→ добавьте колонкуip.src→ Sort Desc по Count.
- Либо временно:
http.response.code in {401,403,404,500}и посмотрите, какойip.srcчаще всего их вызывает.
- Statistics → HTTP → Requests (или Conversations TCP) и профильтруйте:
- Для скана/DoS:
tcp.flags.syn == 1 && tcp.flags.ack == 0и в колонкеip.src— топ-говорящий адрес и будет атакующим.
3) Какой программой пользовались (название без версии)
Смотрите поле User-Agent:
- Откройте любой подозрительный HTTP-запрос → панель Hypertext Transfer Protocol → User-Agent.
- Частые «палящихся» агенты:
sqlmap→ (SQL-инъекции)Nikto→ (сканер уязвимостей веба)DirBuster,gobuster,wfuzz→ (брут-форс директорий/URL)wpscan→ (сканер WordPress)- Иногда используют
curl/wget(будет явно в User-Agent).
Фильтр для поиска:http.user_agent matches "(?i)(sqlmap|nikto|dirbuster|gobuster|wfuzz|wpscan|curl|wget)".
Готов разобрать ваш pcap и выдать точные ответы на три вопроса («Тип атаки», «IP атакующего», «Название программы») — просто загрузите файл traffic 9 4.pcapng.
Python
pythonfrom scapy.all import rdpcap, TCP, UDP, IP, IPv6, Raw, HTTP, HTTPRequest, HTTPResponse
思考
Python
pythonimport dpkt, socket, struct, datetime, io, sys
思考
Python
pythonimport struct, ipaddress, re path = "/mnt/data/traffic_9_4.pcapng" data = open(path, "rb").read() offset = 0 endian = "<" # default little endian packets = [] def read_u32(off, endian): return struct.unpack(endian+"I", data[off:off+4])[0] # Parse blocks while offset + 12 <= len(data): block_type = read_u32(offset, endian) # initial guess little-endian for SHB block_total_len = read_u32(offset+4, endian) if block_total_len < 12 or offset + block_total_len > len(data): # Try switching endianness for first block if section header # Read SHB magic # To handle initial unknown endian: # We'll check byte-order magic at offset+8 with both (53, 4, {'192.168.122.20': 3, '192.168.122.103': 1}, {'192.168.122.20': 3, '192.168.122.103': 1})
Python
pythonfor i,(src,dst,sport,dport,text) in enumerate(parsed["http_requests"],1): print(f"--- HTTP req #{i} from {src}:{sport} to {dst}:{dport} ---") print(text.split("\r\n\r\n")[0]) print()
思考
回答
Готово. В pcap видно HTTP-запрос с инъекцией:
GET /get_secret?username='%20OR%201=1--&password= (User-Agent: curl).
Тип атаки: SQL-инъекция
IP атакующего: 192.168.122.103
Программа: curl
(Дополнительно в трaces есть подбор пароля с 192.168.122.20 на /get_secret, но инъекция идёт именно с .103.)