简单的网络数据分析溯源(上传WebShell的IP地址)
实验背景:
某公司安全工程师抓取到一段Wireshark数据包,发现有人成功上传了WebShell,请找到上传者的IP地址。
面对一段数据包首先要学会wireshark的过滤规则,其次得知道自己需要查找目标得特征
目标:查找连接webshell的IP地址
思路:找到webshell从而确定IP,webshell不变形的话由以下的特征:上传webshell一定是以POST方式传输,uoload、<?php eval($_POST[ 等关键字,webshell一般为php文件
过滤传输POST方式并过滤php文件 http.request.method == POST && http contains "php"