Shell / Bash
基于抓包的 Web 攻击行为分析与排查实践
网络抓包工具分类涵盖全流量捕获与 Web 协议专用工具,包括科来、Wireshark、Burp Suite 等。实战流程涉及环境准备、接口选择及协议特征分析,适用于非 HTTP 游戏流量抓取。通过时序、长度及内容分析定位关键数据包,支持流量重组。应用方向包括渗透测试中的资产提取与漏洞挖掘,以及逆向工程中的协议分析与安全机制绕过,为安全排查提供数据支撑。
网络抓包工具分类涵盖全流量捕获与 Web 协议专用工具,包括科来、Wireshark、Burp Suite 等。实战流程涉及环境准备、接口选择及协议特征分析,适用于非 HTTP 游戏流量抓取。通过时序、长度及内容分析定位关键数据包,支持流量重组。应用方向包括渗透测试中的资产提取与漏洞挖掘,以及逆向工程中的协议分析与安全机制绕过,为安全排查提供数据支撑。
| 工具名称 |
|---|
| 核心优势 |
|---|
| 适用场景 |
|---|
| 局限性 |
|---|
| 科来网络分析系统 | 界面友好,自动分类(进程/协议/会话) | 快速监控、运维排障、初步流量分析 | 协议解码深度不如 Wireshark |
| Wireshark | 协议支持全面,分析功能专业,过滤语法强大 | 深度协议分析、安全研究、网络故障排查 | 学习曲线陡峭,界面信息密集 |
| 工具名称 | 核心功能 | 典型用途 |
|---|---|---|
| Burp Suite | Web 代理、漏洞扫描、渗透测试 | Web 应用安全测试、API 接口调试 |
| Charles | HTTP/HTTPS 代理、流量记录与修改 | 移动端 APP 接口调试、数据模拟 |
| Fiddler | HTTP 调试代理、性能分析 | Web 开发调试、接口测试 |
操作路径:主界面 → 网络适配器列表 选择标准:
通过目标服务器 IP 识别游戏会话(如 114.67.223.67:8005)
现象观察:
# 1. 选择网络接口(通常为以太网)
# 2. 开始捕获所有流量
# 常用显示过滤器示例:
ip.addr == 114.67.223.67 # 按 IP 过滤
tcp.port == 8005 # 按端口过滤
udp # 仅显示 UDP 流量
!(http or tls) # 排除 HTTP/HTTPS 流量
| 场景 | 推荐工具 | 理由 |
|---|---|---|
| 快速查看哪些进程在通信 | 科来网络分析系统 | 进程关联直观,分类清晰 |
| 分析自定义二进制协议 | Wireshark | 协议解码能力强,分析功能深入 |
| Web 应用安全测试 | Burp Suite | 专为 Web 安全设计,集成测试功能 |
| 移动端 APP 调试 | Charles | 对移动设备支持友好,SSL 证书安装方便 |
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| 抓不到游戏数据包 | 1. 游戏使用非 HTTP 协议 2. 流量不走选定的网卡 3. 游戏有证书绑定或反调试 | 1. 使用科来/Wireshark 替代 Burp 2. 确认模拟器网络桥接配置 3. 尝试系统级抓包或使用封包监听工具 |
| 流量太多难以定位 | 捕获了所有网络活动 | 1. 使用过滤器(IP、端口) 2. 先关闭无关应用 3. 执行特定操作时捕获 |
| 数据包内容为乱码 | 协议加密或压缩 | 1. 寻找加密密钥(逆向分析) 2. 分析协议结构(长度字段、魔术字) |
数据流:抓包数据 → 信息提取 → 攻击面映射 → 漏洞测试
# 使用 FOFA 进行资产发现
搜索语法:ip="114.67.223.67" # 精确 IP 搜索
host="*.vanjoys.cn" # 域名泛解析
port="8005" # 特定端口
header="Server: nginx" # 服务指纹
工具特点:针对特定进程的 API 层拦截 适用场景:模拟器内游戏、有反调试保护的应用
操作流程:
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
暂无推荐文章,稍后可再来查看。
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online