NSPA3 — 網路安全封包分析筆記

花了一萬五上課做的筆記

建議直接到 sectools.tw 觀看比較整齊

https://sectools.tw/nspa3/

Note

小於1024的port

流量太大 wireshark 會當掉
可以用 tcpdump 代替之

Wireshark color

開啟封包的Country , City , As Number, As Organization

Locate: statistics -> End Points -> Ipv4

GEOLite 是下載灰色的位置

以AS Number 來忽略

認as number 會比擋ip好

Display Filter

not ip.geoip.asnum==15169

or

not ip.geoip.asnum in {15169 3462 8068 8070 8075}

Capture Filter

No broadcast

可以 save this filter 命名 忽略正常封包

過濾內網 — 忽略內網封包

((not ip.geoip.asnum in {15169 3462 8068 8070 8075}) and (not (ip.src == 10.0.0.0/8 and ip.dst==10.0.0.0/8))) and (not arp)

快速加國家別的欄位

移到欄位 -> Colum Preferences -> Appearance -> Columns

國家 Custom ip.geoip.country 0

快速加公司別的欄位

移到欄位 -> Colum Preferences -> Appearance -> Columns

國家 Custom ip.geoip.org 0

key Points of HTTP Communication

HTTP與HTTPS用戶端原則

DNS 詢答

tcp.flags.syn == 1 or dns

檢查DNS與網路連線 — 1

((tcp.port == 80 or tcp.port == 443) and tcp.flags.syn ==1) or dns

不要台灣

not ip.geoip.country == “Taiwan”

HTTP Method (query Command)

HTTP Response Status Code

netstat

windows: netstat -anop tcp
Linux: sudo netstat -tupan

病毒練習網站

dump md5 file

CertUtil -hashfile aaa.exe MD5

Source and Targe (不考)

32 不考 34 不考

SMTP Commands

狀態通訊

NTUT CSIE | Biomedical Informatics Lab | github.com/stwater20 | sectools.tw