قمنا بتغطية الجزء الثاني من دروس Wireshark حيث تناولنا تحليل حركة المرور باستخدام المرشحات المتقدمة. قمنا بتحليل حركة مرور الشبكة باستخدام بروتوكولات مختلفة مثل HTTP وDNS. قمنا أيضًا بتغطية تحليل عمليات فحص NMAP وهجمات تسمم ARP ونفق SSH. بالإضافة إلى ذلك، شرحنا كيفية استخراج بيانات اعتماد النص الواضح التي تم تمريرها عبر بروتوكولات غير آمنة مثل HTTP وFTP. كان هذا جزءًا من TryHackMe Wireshark تحليل حركة المرور سوك المستوى 1.
احصل على ملاحظات دراسة تحليل حركة مرور الشبكة
الدورة التدريبية العملية الكاملة لإداة Metasploit
أبرز مقاطع الفيديو
عند التحقيق في نشاط اختراق أو إصابة بالبرامج الضارة، يجب أن يعرف محلل الأمان كيفية التعرف على المضيفين على الشبكة باستثناء IP ماك مطابقة العنوان. إحدى أفضل الطرق هي تحديد المضيفين والمستخدمين على الشبكة لتحديد نقطة بداية التحقيق وقائمة المضيفين والمستخدمين المرتبطين بحركة المرور/النشاط الضار.
عادةً ما تستخدم شبكات المؤسسات نمطًا محددًا مسبقًا لتسمية المستخدمين والمضيفين. وفي حين أن هذا يجعل معرفة المخزون ومتابعته أسهل، إلا أن له جوانب جيدة وسيئة. الجانب الجيد هو أنه سيكون من السهل التعرف على المستخدم أو المضيف من خلال النظر إلى الاسم. الجانب السيئ هو أنه سيكون من السهل استنساخ هذا النمط والعيش في شبكة المؤسسة للخصوم. هناك حلول متعددة لتجنب هذه الأنواع من الأنشطة، ولكن بالنسبة لمحلل الأمن، لا يزال من الضروري أن يكون لديه مهارات تحديد هوية المضيف والمستخدم.
البروتوكولات التي يمكن استخدامها في تحديد المضيف والمستخدم:
حركة المرور عبر الأنفاق: ICMP وDNS
تحليل اللجنة الدولية لشؤون المفقودين
تم تصميم بروتوكول رسائل التحكم بالإنترنت (ICMP) لتشخيص مشكلات اتصالات الشبكة والإبلاغ عنها. يتم استخدامه بشكل كبير في الإبلاغ عن الأخطاء واختبارها. وبما أنه بروتوكول طبقة شبكة موثوق به، فإنه يستخدم أحيانًا لرفض الخدمة (دوس) الهجمات؛ كما يستخدمه الخصوم في أنشطة استخراج البيانات وأنشطة حفر الأنفاق C2.
تحليل ICMP باختصار:
عادةً ما تكون هجمات أنفاق ICMP عبارة عن حالات شاذة تظهر/تبدأ بعد تنفيذ البرامج الضارة أو استغلال الثغرات الأمنية. نظرًا لأن حزم ICMP يمكنها نقل حمولة بيانات إضافية، يستخدم الخصوم هذا القسم لتصفية البيانات وإنشاء ج2 اتصال. يمكن أن تكون بيانات TCP أو HTTP أو SSH. نظرًا لأن بروتوكولات ICMP توفر فرصة عظيمة لنقل بيانات إضافية، فإن لها أيضًا عيوبًا. تقوم معظم شبكات المؤسسات بحظر الحزم المخصصة أو تتطلب امتيازات المسؤول لإنشاء حزم ICMP مخصصة.
يعد الحجم الكبير لحركة مرور ICMP أو أحجام الحزم الشاذة بمثابة مؤشرات على وجود نفق ICMP. ومع ذلك، يمكن للخصوم إنشاء حزم مخصصة تتوافق مع حجم حزمة ICMP العادية (64 بايت)، لذلك لا يزال اكتشاف أنشطة الأنفاق هذه مرهقًا. ومع ذلك، يجب على المحلل الأمني أن يعرف ما هو طبيعي وغير طبيعي لاكتشاف الشذوذ المحتمل وتصعيده لمزيد من التحليل.
DNS تحليل
نظام اسم النطاق (DNS) مصمم لترجمة/تحويل عناوين مجال IP إلى عناوين IP. ويُعرف أيضًا باسم دليل الهاتف للإنترنت. نظرًا لأنه الجزء الأساسي من خدمات الويب، فهو شائع الاستخدام وموثوق به، وبالتالي يتم تجاهله غالبًا. ونتيجة لذلك، يستخدمه الخصوم في استخراج البيانات وأنشطة C2.
تحليل بروتوكول النص الواضح
يبدو التحقيق في آثار بروتوكول النص الواضح أمرًا سهلاً، ولكن عندما يحين الوقت للتحقيق في أثر شبكة كبير لتحليل الحوادث والاستجابة لها، تتغير اللعبة. التحليل الصحيح هو أكثر من مجرد متابعة الدفق وقراءة بيانات النص الواضح. بالنسبة للمحلل الأمني، من المهم إنشاء إحصائيات ونتائج رئيسية من عملية التحقيق
إجابات الغرفة
استخدم الملف "Desktop/exercise-pcaps/nmap/Exercise.pcapng".
ما هو إجمالي عدد عمليات فحص "TCP Connect"؟
ما هو نوع المسح المستخدم لمسح برنامج التعاون الفني المنفذ 80؟
كم عدد رسائل "إغلاق منفذ UDP" الموجودة؟
أيّ UDP المنفذ في نطاق المنفذ 55-70 مفتوح؟
استخدم الملف "Desktop/exercise-pcaps/dhcp-netbios-kerberos/dhcp-netbios.pcap".
ما هو ماك عنوان المضيف "Galaxy A30"؟
ما هو عدد طلبات تسجيل NetBIOS المتوفرة لدى محطة العمل "LIVALJM"؟
استخدم "سطح المكتب/التمرين-pcaps/dhcp-netbios-kerberos/"ملف kerberos.pcap".
ما هو عنوان IP الخاص بالمستخدم "u5"؟ (أدخل العنوان بتنسيق غير محدد.)
التحقيق في الحزم الشاذة. ما هو البروتوكول المستخدم في أنفاق ICMP؟
استخدم الملف "Desktop/exercise-pcaps/dns-icmp/dns.pcap".
التحقيق في الحزم الشاذة. ما هو عنوان المجال الرئيسي المشبوه الذي يستقبل الرسائل الشاذة DNS استفسارات؟ (أدخل العنوان بتنسيق غير محدد.)
استخدم ملف "Desktop/exercise-pcaps/ftp/ftp.pcap".
كم عدد محاولات تسجيل الدخول غير الصحيحة؟
ما هو حجم الملف الذي يتم الوصول إليه عن طريق حساب "ftp"؟
قام الخصم بتحميل مستند إلى بروتوكول نقل الملفات الخادم. ما هو اسم الملف؟
حاول الخصم تعيين إشارات خاصة لتغيير أذونات التنفيذ للملف الذي تم تحميله. ما هو الأمر الذي يستخدمه الخصم؟
التحقيق في وكلاء المستخدم. ما هو عدد أنواع "وكيل المستخدم" الشاذة؟
ما هو رقم الحزمة مع وجود اختلاف إملائي دقيق في حقل وكيل المستخدم؟
استخدم الملف "Desktop/exercise-pcaps/http/http.pcapng".
حدد موقع مرحلة بدء الهجوم "Log4j". ما هو رقم الحزمة؟
حدد موقع مرحلة بدء الهجوم "Log4j" وقم بفك تشفير أمر base64. ما هو عنوان IP الذي اتصل به الخصم؟ (أدخل العنوان بتنسيق غير محدد واستبعد "{}".)
ما هو رقم إطار رسالة "Client Hello" المرسلة إلى "accounts.google.com"؟
قم بفك تشفير حركة المرور باستخدام ملف "KeysLogFile.txt". ما هو عدد حزم HTTP2؟
انتقل إلى الإطار 322. ما هو رأس السلطة لحزمة HTTP2؟ (أدخل العنوان بتنسيق غير محدد.)
تحقق من الحزم التي تم فك تشفيرها وابحث عن العلم! ما هو العلم؟
ما هو رقم الحزمة التي تم إرسال "كلمة المرور الفارغة" إليها؟
حدد الحزمة رقم 231. قم بإنشاء قواعد "IPFirewall". ما هي قاعدة "السماح بالوجهة ماك عنوان"؟
تجول الفيديو