文章目录
- 一、前言
- 二、概览
- 简介
- 三、参考文章
- 步骤(分析)
- 步骤# 1.1
- 在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}
- 步骤# 1.2
- 找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
- 步骤# 1.3
- 哪一个端口提供对web服务器管理面板的访问? flag格式:flag{2222}
- 步骤# 1.4
- 经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag{名称}
- 拓展1.1
- 拓展1.2
- 步骤# 1.5
- 攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag{root-123}
- 步骤# 1.6
- 攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:flag{114514.txt}
- 拓展1.3
- 步骤#1.7
- 攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息
一、前言
题目链接:第六章 流量特征分析-常见攻击事件
三连关注私信免费送玄机邀请码喔~看见就回!!!!!私信!!!
流量特征分析-常见攻击事件
流量特征分析用于识别和防御常见的网络攻击事件。通过分析网络流量的特征,可以发现异常活动,识别潜在的攻击,并采取相应的防御措施。以下是一些常见的网络攻击事件及其流量特征:
1. DDoS(分布式拒绝服务)攻击
- 流量特征:
- 短时间内大量请求涌向目标服务器,导致服务不可用。
- 流量高峰异常,超过正常流量基线数倍甚至数十倍。
- 源IP地址多为伪造,分布广泛,难以追踪。
- 目标端口集中,通常为80(HTTP)或443(HTTPS)等常见服务端口。
2. SYN Flood 攻击
- 流量特征:
- 短时间内大量SYN包涌向目标服务器,导致服务器资源耗尽。
- 每个连接请求仅发送SYN包,不完成三次握手过程。
- 来源IP地址随机或伪造,难以追踪真实攻击者。
3. ICMP Flood 攻击
- 流量特征:
- 短时间内大量ICMP Echo请求(ping包)涌向目标,导致网络拥塞。
- ICMP流量异常高,超过正常基线。
- 包大小可能设置为最大,增加带宽消耗。
4. UDP Flood 攻击
- 流量特征:
- 短时间内大量UDP包涌向目标,导致网络带宽耗尽或目标服务资源耗尽。
- 来源端口和目标端口多为随机,增加流量混乱度。
- 流量高峰明显,超过正常基线。
5. SQL注入攻击
- 流量特征:
- HTTP请求中包含异常的SQL查询语句,如 ' OR '1'='1。
- 频繁的POST请求或GET请求,URL参数中含有SQL关键字(如 SELECT、UNION、INSERT)。
- 请求响应时间异常,数据库负载增加。
6. XSS(跨站脚本)攻击
- 流量特征:
- HTTP请求中包含异常的JavaScript代码片段。
- URL参数或表单提交数据中含有
Top
- 流量特征:
- 流量特征:
- 流量特征:
- 流量特征:
- 流量特征:
- 流量特征:
- 攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息