溯源系列：溯源（一）之溯源的概念与意义、溯源（四）之流量分析-Wireshark使用

溯源（一）之溯源的概念与意义、溯源（四）之流量分析-Wireshark使用

• 一. 溯源（一）之溯源的概念与意义
• • • 溯源的概念与意义
    • 溯源的概念
    • 溯源应用的场景
    • • 1、护网蓝队
      • 2 、应急溯源
    • 溯源分析的意义
    • • 溯源分析有以下几个意义：
      • • 1、为警民联动奠定基础
        • 2、对攻击者造成威慑
        • 3、提升安全实战化防护水平
• 二. 溯源（四）之流量分析-Wireshark使用
• • Wireshark介绍
  • • 1、wirshark介绍：
    • 2、什么人会用到wireshark
  • Wireshark使用
  • • 网卡选择模式
    • • 2、开启混杂模式
    • 过滤器
    • • Wireshark提供了两种过滤器：
      • 1、捕获过滤器
      • • 在抓包之前就设定好过滤条件，然后只抓取符合条件的数据包
        • 过滤基本的语法格式：BPF语法格式。
      • 2、显示过滤器
      • • 显示过滤器的语法包含5个核心元素：IP、端口、协议、比较运算符和逻辑运算符。
      • 3、过滤器具体写法
      • • 显示过滤器写法
        • 捕捉过滤器写法
        • 2、针对ip的过滤
        • 3、针对协议的过滤
        • 4、针对端口的过滤（视传输协议而定）
      • 5、针对长度和内容的过滤
      • • 5、针对http请求的一些过滤实例。
        • • 2、常用表达式实例

---

一. 溯源（一）之溯源的概念与意义

溯源的概念与意义

攻击溯源作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，还原攻击路径有助于修复漏洞与风险避免二次事件的发生，并且通过反制手段溯源攻击者的身份。溯源分析在安全岗位中应用的很广，将攻击知识转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。

溯源的概念

我们大家都知道护网，攻防演练，每年的护网在招聘的时候都分初级，中级和高级，初级负责看监控设备，上报攻击流量，中级是负责研判，通俗一点就是确定攻击是不是恶意的或者这个警告是不是误报，那高级就是负责溯源攻击的IP是来自哪里的

溯源就是根据已有的线索，攻击方式以及攻击特征等通过技术手段反查攻击者身份或是组织信息，在我们日常接触的项目中，也都需要我们去掌握这一项技能，比如客户的服务器出现了，我们需要去排查，去溯源漏洞或者病毒文件的位置，去保障客户的网络安全，是学安全方向上的人才必须掌握的一项技能

我们常常需要溯源的信息有这些:

攻击者的姓名/ID,攻击IP,地理位置