网安-流量分析

原创 已于 2025-08-07 11:56:09 修改 · 951 阅读 · 28
标签
#安全 #网络
于 2025-08-07 09:56:14 首次发布

低功耗蓝牙项目,需要一块懂省电的板

思澈 SF32LB52 芯片,BLE 协议栈深度优化,上手即开发

点击查看

目录

流量分析

探针:

以后的流量识别技术框架:

流量分析流量分析方法

Wireshark、科来

流量日志分析

WEB流量分析

注意

日志&路径

事件ID:

TCP/IP协议栈基础

流量数据的类型和来源

数据的来源

流量和日志的区别

Wireshark

科来

流量分析流程

流量关联

1.通过分析SQL注入漏洞执行系统命令的流量

2.判断攻击指令添加高权账号

3.判断后续是否有RDP远程桌面登录

Shiro反序列化流量

检测key

通过dnslog检测key:

借助日志分析设备进行数据包分析:

借助日志分析设备进行数据包分析:

无回显Shiro流量解密流量特征

流量分析

流量分析是指通过监控和解析网络中的数据包,识别和理解网络流量模式,以检测潜在的安全威胁、异常行为以及网络性能问题的过程。

探针:

设备手机工具,用于采集流量,一般布设在流量节点处,交换机路由器的出口位置,核心交换机旁

以后的流量识别技术框架:

以EDR和NDR为技术支撑、MDR服务支撑,SOAR自动化编排为工作流支撑的XDR体系。EDR(端点)和NDR(网络)、MDR(服务模式)

流量分析流量分析方法

Wireshark、科来

方法:使用开源网络协议分析工具Wireshark捕获和解析网络数据包,进行详细的数据包级分析。

应用:深入分析网络流量中的异常行为、发现恶意软件和攻击模式。

流量日志分析

方法:收集和分析网络流量日志,以识别异常活动和安全事件。

应用:合规性检查、日志审查和威胁检测。

WEB流量分析

大小异常:hacker常使用长参数来构建payload,在分析网络流量时,我们可以通过设置阈值来自动识别这些异常长度的参数。

字符异常:攻击流量常用非法字符来尝试绕过安全设备检测。我们可以在分析过程中对这些非法字符进行检测,并通过正则表达式识别。

报错异常:hacker可能会在HTTP请求中包含错误或缺失的参数。我们可以设置规则和查看返回值来识别这些异常请求。

PHP从零学习到Webshell免杀手册 - FreeBuf网络安全行业门户

注意

大小、长度、时间、格式、特征……

日志&路径

查看Linux的登录日志:

/var/log/message系统启动后的信息和错误日志,是最常用的日志之一 
/var/log/secure与安全相关的日志信
/var/log/maillog与邮件相关的日志信息
 /var/log/cron与定时任务相关的日志信息
/var/log/spooler与UUCP和news设备相关的日志信息 
/var/log/boot.log守护进程启动和停止相关的日志消息 
/var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动信息

事件ID:

4624:成功登录
4625:注销
4626:远程登录
4628:本地登录
4634:账户锁定
4648:登录失败
4647:网络密码更改

TCP/IP协议栈基础

<

低功耗蓝牙项目,需要一块懂省电的板

思澈 SF32LB52 芯片,BLE 协议栈深度优化,上手即开发

点击查看
最低0.47元/天 解锁文章
2021-09-10 实验-XCTF真题实战之流量分析
热门推荐
愚公智库
09-10 4万+
通信流量分析 使用Wireshark打开HEHEHE.pcap文件。对于通信流量分析类题目,常用的一个解法就是使用过滤器tcp contains ".rar"来查看数据包中是否包含有rar文件,实际操作时rar可以换成zip等其他扩展名。 现在在Wireshark的Filter编辑框中输入过滤器tcp contains “.rar”,果然发了这样的通信记录,选中第一条结果,单击右键选择“Follow TCP Stream”,可以看到数据包里存在一个rar文件,这里将其Dump出来(在窗口中选择Raw,然后点
面试必看:Cobalt Strike、metasploit流量分析
Andytoe的博客
06-30 1020
本文分析了Cobalt Strike和Metasploit的流量特征。Cobalt Strike的流量架构包括teamserver、C2服务器和beacon主机,其HTTP/HTTPS/DNS通信具有特定模式,如checksum8路径验证、心跳请求和异常DNS记录。Metasploit V4采用模块化架构,包含辅助、渗透、后渗透等模块,其bind_tcp流量虽加密但仍保留MZ标头特征。两种工具都可通过修改配置规避部分检测,但某些强特征(如checksum8响应和JA3指纹)难以完消除。分析这些特征有助于检
基础】--部分webshell流量分析总结
相信我,我将成为你的笔记库
08-04 1371
一些webshell的一些特征,绝对够细,心血力作
[实践III] 实验2.流量分析
LostUnravel的博客
11-09 9675
实践III - 实验2.流量分析1 攻击主机信息分析过程2 还原的攻击步骤分析过程步骤还原3 破解的root口令口令过程 1 攻击主机信息 IP地址: 192.168.2.183 MAC地址: PcsCompu_e6:16:43(08:00:27:e6:16:43) 主机域名: kali.lan 分析过程 从 No.72 数据包开始, 可以看到 IP 为 192.168.2.183 的主机向 IP 为 192.168.2.222 的主机发送了大量的 TCP 的 SYN 报文, 而且每次 TCP 的
【鸿蒙】HarmonyOS 安全:加密算法与 HUKS 密钥管理
Dengzm94
06-16 432
1.密钥永远不出 TEE:长期密钥必须通过 HUKS 管理,禁止用 cryptoFramework 生成后序列化存储2.GCM 模式 Nonce 必须随机且唯一:每次加密生成新随机 Nonce,与密文一起存储3.分段 API 处理大数据:超 64KB 数据必须用 init/update/finish 三段式4.密钥生成加幂等保护:生成前检查,避免覆盖旧密钥导致已加密数据丢失5.应用卸载清理密钥:主动调用避免残留密钥在重装后引发诡异错误核心结论。
AgentScope 2.0 源码解析-权限控制系统:从架构设计到安全实践
program哲学
06-17 203
本文系统性拆解 AgentScope 2.0 框架的权限控制子系统,涵盖权限引擎(PermissionEngine)、权限上下文(PermissionContext)、权限决策(PermissionDecision)、权限规则(PermissionRule)四大核心组件。深入分析五种权限模式(DEFAULT、ACCEPT_EDITS、EXPLORE、BYPASS、DONT_ASK)与四种决策行为(ALLOW、DENY、ASK、PASSTHROUGH)的设计原理,详解六步优先级决策流程。
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
treesforest的博客
06-16 408
目前包括IP数据云在内的IP情报服务平台,已经能够提供球IP归属地查询、代理检测和风险识别能力,开发者可以通过API快速接入相关数据源。
AI编程的安全陷阱:10个常见的安全漏洞及防范方法
yp0to1的博客
06-16 529
2026年,很多开发者用AI生成代码,但不知道AI生成的代码有安全漏洞。原因AI训练数据的局限性:AI是在公开代码上训练的,而公开代码里也有很多安全漏洞AI不理解安全上下文:AI只知道"怎么实现功能",不知道"怎么实现安全的功能"开发者过度信任AI:很多开发者盲目接受AI生成的代码,不审查安全性我的观点AI生成的代码能跑,但不一定安全。你需要有能力审查AI生成的代码的安全性。AI编程的安全陷阱核心问题AI不理解安全上下文(只知道实现功能,不知道安全)AI训练数据包含漏洞代码。
中海达携空天地水应急方案亮相广州国际应急安全
Hi_Target的博客
06-16 278
6月16日-18日,2026广州国际应急安全博览会在广交会展馆隆重举办。本届展会云集千余家参展企业,设立了应急装备、低空经济应急救援、安全防护等十五大专业展区,集中展示球前沿应急技术装备与链条一体化解决方案,构建“龙头引领+专精特新”的产业生态。中海达应邀携空天地水一体化智慧应急解决方案亮相,获得了参会嘉宾及行业同仁的高度关注。
安全加固:敏感数据加密存储与传输安全(57)
最新发布
Davina_yu的博客
06-22 131
针对密码、验证码等隐私数据输入场景,可通过IME Kit定制安全虚拟键盘。通过禁用预测文本、实时加密按键事件,从源头防止内存抓取和第三方输入法窃听。// 初始化加密器,用于实时加密用户的按键输入// 实际场景中需从安全存储中获取动态密钥});// 构建安全键盘视图return {keys: [],// 【关键】实时加密每个按键事件,内存中不保留明文// 【关键】禁用预测文本,防止输入法引擎缓存用户输入。
移动端登录态安全设计(3):AES-GCM + Android Keystore:Android Token 本地安全存储
Mark Wu 的博客
06-20 367
本文详细介绍了Android应用中Token的安全存储方案,强调应采用多层防护机制:使用AES-GCM算法加密Token,密钥由Android Keystore系统生成和保护,加密后的密文存储在DataStore/MMKV等本地存储中。文章解答了关键问题,包括为何不直接存Token到Keystore、AES-GCM的选择原因、代码结构设计、老版本迁移策略等,并指出安全是一个整体工程,需配合HTTPS传输、日志脱敏、服务端Token失效机制等形成闭环。最终目标是实现"密文存储、密钥保护、运行时解密&
AI 安全纵深防御体系架构:从威胁建模到安全自动化的栈防护设计
我的博客
06-15 485
核心痛点:AI 系统面临的安全威胁已经从单一的攻击向量(如 Prompt 注入)演变为覆盖模型供应链、推理服务、Agent 工具调用、数据管道的方位攻击面。然而,绝大多数企业的 AI 安全建设仍停留在"打补丁"阶段 —— 部署一个防火墙、加一层内容过滤、做一次红队测试,缺乏系统性的纵深防御架构设计。如何从架构层面构建一套可落地、可扩展、可度量的 AI 安全纵深防御体系。适配人群。
Anthropic 可信代理实践解析:从 Plan Mode 到多层防御,AI Agent 安全架构设计指南
2404_84649926的博客
06-22 352
Harness 层- [ ] 是否实现了 Plan Mode 或等价的策略级审批?- [ ] 是否为每个工具设置了 Allow/Ask/Block 权限?- [ ] 是否设置了 Token 预算和步骤数上限?- [ ] 系统提示是否明确鼓励"不确定就问"?工具层- [ ] 工具权限是否遵循最小化原则?- [ ] 敏感操作(写、删、发送)是否需要二次确认?- [ ] 工具描述是否清晰,避免模型误用?环境层- [ ] Agent 是否运行在隔离环境(沙箱/容器)中?
点盾云新增VR加密功能:一机一码,让VR内容分发安全可控
DolitD的博客
06-16 344
点盾云推出VR加密功能,采用一机一码机制,实现激活码与VR设备唯一绑定。内容方可后台灵活授权、召回激活码或冻结设备程可控。三步完成加密,有效保障VR内容分发安全,防止盗用与滥用。
SpringBoot2.x + Vue2 国密接口安全实战(SM2+SM3+SM4 企业级防篡改/防泄露/防重放)
飞鸟的博客
06-17 568
本文基于SpringBoot2.x + Vue2技术栈,严格遵循 GM/T 0002/0003/0004-2012 官方国密标准,落地 SM2+SM3+SM4 套国产化接口安全方案。通过 AOP 无侵入切面实现敏感字段加密、整包报文加密、SM3 参数验签、Redis 防重放、时间戳校验、双向身份认证六层防护,解决传统 RSA/MD5 合规性差、安全性低的问题。同时梳理开发过程版本冲突、密文兼容、签名失败等高频踩坑问题与终极解决方案
信息系统基础知识(九):信息系统安全的作用与意义详解
你好,我是黄昏回响,一个热爱分享知识与见解的博主。在这里,你会看到我对生活、阅读与成长的思考。欢迎添加我的微信号 逸飞广闻,一起交流有趣的话题,碰撞思想火花。期待与你相遇,共同拓宽认知边界,收获更多精彩!
06-22 335
我们系统学习了信息安全的基础知识——五个基本要素(机密性、完整性、可用性、可控性、可审查性)、四个安全范围(设备安全、数据安全、内容安全、行为安全)以及信息存储安全等核心概念。那些知识为我们理解“信息安全是什么”打下了基础。
超自动化安全的技术选型与架构设计指南
m0_74389308的博客
06-16 271
《超自动化安全技术选型与架构设计指南》指出,超自动化正成为企业安全运营的必备能力。面对技术选型挑战,企业需重点评估五大维度:1)集成能力,考察API、协议覆盖和UI自动化;2)编排能力,关注低代码设计、场景模板和AI辅助;3)AI融合深度,检验智能决策、预测分析和自进化能力;4)部署扩展性,评估轻量化、国产化适配和分布式架构;5)企业级特性,重视权限管理和多租户隔离。该框架为企业提供了从技术评估到架构设计的系统性决策支持。
ZIP 解压安全:Central Directory、规范化路径与 miniz 示例
编程改变世界。想做一些改变世界的产品。感谢一键三连。
06-16 322
文章摘要 ZIP解压存在严重安全隐患,如路径穿越攻击(Zip Slip)可能导致文件被解压到目标目录外或覆盖系统文件。安全解压需重点关注两点:1)利用ZIP Central Directory预先校验所有文件信息,避免解压中途失败;2)对路径进行规范化处理,统一分隔符、拒绝绝对路径和..等危险路径。此外还需设置文件数量、单文件大小和总解压大小限制以防止压缩炸弹攻击。miniz库示例展示了先读取目录校验、后安全解压的推荐流程,强调"先校验再解压"的核心原则。
AI关与大模型安全防火墙
技术引领业务创新
06-17 377
AI关与大模型安全防火墙:协作共筑AI安全防线 AI关与LLM防火墙是AI应用架构中的两大关键组件,二者功能互补而非替代。AI关作为"智能调度员",专注于多模型路由、负载均衡和成本优化;而LLM防火墙则扮演"安全守卫"角色,实时拦截提示词注入、数据泄露等威胁。二者的协同体现在:关提供流量管理,防火墙实施内容审查,共同形成"管理+安全"的双重保障。实际部署中可采用一体化集成(如Traefik Hub)或专业化分离(如TrueFoundry+TrojAI)模式。选型建议根据团队规模和安全需求,从轻量级组
正规API中转站怎么判断?个人和企业如何挑选稳定又合规的AI API接口(附Dify、Cursor配置、报错排查、密钥安全攻略)
weixin_54442559的博客
06-21 293
如果只是想把一个候选方案放进备选池,向量引擎可以理解为面向AI应用、开发工具和工作流场景的API中转与模型接入服务,适合需要OpenAI兼容接口、统一模型入口、Dify/Cursor/Chatbox/Cherry Studio接入、自建脚本调用、团队接口管理的用户评估使用。所以我现在看一个方案,第一眼不会只盯价格,而是先看四件事:能不能标准接入、能不能稳定调用、报错能不能看懂、密钥能不能管住。企业最看重的通常不是“能不能用”,而是“能不能稳、能不能查、能不能追责”。能接工具,才说明它适合实际使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值