[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类
2024-05-09 17:11:54
前言
最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。
0x00 华为交换机镜像设置端口抓包
1、 全局模式下指定一个镜像端口
observe-port 1 interface g 0/0/4
2、指定一个监测端口
int g 0/0/5
port-mirroring to observe-port 1 outbound
inbound是服务器到内交换机的流量,outbound是交换机到服务器的流量
0x01 H3C 交换机配置
Mirroring group 1 local
Mirroring port g1/0/1(镜像端口)
0x02
1、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
2、Wireshark抓包
0x03 虚拟机、VLAN 设置镜像端口
1、在交换机上设置一个监测端口
Monitor port(监听口) //H3C交换机 配置
observe-port 1 interface G 0/0/4 //华为交换机配置
2、根据IP地址判断其所在的VLAN,在VLAN下配置
int vlan 20
mirroring to observe-port 1 inbound
3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
4、Wireshark抓包
0x04 Wireshark 端口抓包设置
捕获-选项:
①抓包的端口开启混杂,缓存100
②设置路径和报文大小
③ 打开抓取30分钟后的报文文件进行病毒过滤查询
0x05 WireShark 病毒过滤语句
eth开头到结尾修改你的服务器信息复制到wireshark过滤器中过滤
[高] H-WORM
king.servemp3.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches servemp3
[高] Ramnit蠕虫
eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == fget-career.com
eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == suewyllie.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches fget-career) or (dns.qry.name matches suewyllie.com))
[高] WannaCry_attack
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches iuqerfsodp
[高] 驱动人生后门
beahh.com
abbny.com
haqo.net
oo.beahh.com
ii.haqo.net
p.abbny.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
eth.addr == 做镜像的服务器MAC地址 and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
[中] Andromeda僵尸网络
buy1.*.ru
eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches buy1) or (dns.qry.name matches morphed))
[中] CryptInject木马
v.beahh.com
eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches beahh
[中] Crypt木马
rl1.w7q.net
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches w7q
[中] Expiro病毒
dewpoint-eg.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches dewpoint
[中] Mimikatz
pp.abbny.com
o.beahh.com
i.haqo.net
类似 驱动人生后门
[中] Sality感染型病毒
ilo.brenz.pl
padrup.com
eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches brenz) or (dns.qry.name matches padrup))
[中] 其他
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
a.diphon4egalaxyblack42.com
a.eiphon5egalaxyblack42.com
download.3721.com
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches black42) or (dns.qry.name matches 3721))
[中] 飞客蠕虫
ffwqdfvn.ws
gtondqoj.cn
hvvknd.ws
mxsjffkn.cn
sipfeakd.cn
sjlbkdxad.cn
tzdcquavcel.ws
wlfih.ws
zndujppzzmn.com
ejhsuqt.ws
eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches ws) or (dns.qry.name matches sjlbkdxad) or (dns.qry.name matches mxsjffkn) or (dns.qry.name matches sipfeakd) or (dns.qry.name matches gtondqoj))
[低] 老裁缝激活工具
w7q.net
类似 Crypt木马eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches servemp3) or (dns.qry.name matches buy1))
0x06 驱动人生后门&挖矿病毒手工清除代码
@echo off
mode con: cols=85 lines=35 & color 0atitle 挖矿病毒手工清除工具
:: 软件名称echo -------------------------------------------
echo -------------------------------------------
echo 本工具制作于2020年4月23日
echo 请按照提示一步一步操作
echo 操作完毕后安装防病毒
echo -------------------------------------------
echo ------------------------------------------- :menu
echo.
echo.
echo [1] 删除病毒文件
echo [2] 删除病毒计划任务和病毒服务
echo [3] 删除注册表
echo [4] 删除防火墙规则
echo [5] 删除病毒设置的端口转发的设置
echo [0] 退出
echo.:menu1
set source=:
set /p source= 请输入要进行操作的选项:
set "source=%source:"=%"
:: 上面这句为判断%source%中是否存在引号,有则剔除。if "%source%"=="0" exit
if "%source%"=="1" goto 1
if "%source%"=="2" goto 2
if "%source%"=="3" goto 3
if "%source%"=="4" goto 4
if "%source%"=="5" goto 5:: 选择执行的操作
echo 请输入正确代码
goto menu1:1:: 删除病毒文件wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
:: 停止非正常svchost进程,并删除其文件echo 删除c:\windows\syswow64\drivers\svchost.exe
del c:\windows\syswow64\drivers\svchost.exe /a
del c:\windows\system32\drivers\svchost.exe /a echo 删除c:\windows\temp\svchost.exe
del c:\windows\temp\svchost.exe /a echo 删除c:\windows\syswow64\wmiex.exe
taskkill /IM wmiex.exe /F
del c:\windows\syswow64\wmiex.exe /a
del c:\windows\system32\wmiex.exe /a taskkill /IM taskmgr.exe /F
echo 删除c:\windows\syswow64\drivers\taskmgr.exe
del c:\windows\syswow64\drivers\taskmgr.exe /a
del c:\windows\system32\drivers\taskmgr.exe /aecho 删除c:\windows\syswow64\svhost.exe
del c:\windows\syswow64\svhost.exe /a
del c:\windows\system32\svhost.exe /a del c:\windows\temp\m.ps1 /aecho 病毒文件删除完毕goto menu:2:: 删除计划任务
echo 删除计划任务Drivers
schtasks /Delete /TN Ddrivers /F
echo 删除计划任务WebServers
schtasks /Delete /TN WebServers /F
echo 删除计划任务DnsScan
schtasks /Delete /TN DnsScan /F
echo 删除计划任务\Microsoft\Windows\Bluetooths
schtasks /Delete /TN "\Microsoft\Windows\Bluetooths" /F
echo 计划任务删除完毕::删除病毒服务Ddriver和webservers
echo 删除服务Driver
sc delete Ddriver
echo 删除服务WebServers
sc delete webservers
echo 病毒服务删除完毕goto menu:3::删除注册表
echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Ddriver /f
echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WebServers /f
echo 注册表删除完毕goto menu:4::删除防火墙规则
echo 删除入站规则名为denny445的规则
netsh advfirewall firewall del rule name=denyy445
echo 删除入站规则名为udp的规则
netsh advfirewall firewall del rule name=udp
echo 删除入站规则名为udp2的规则
netsh advfirewall firewall del rule name=udp2
echo 删除入站规则名为ShareService的规则
netsh advfirewall firewall del rule name=ShareService goto menu:5
::删除病毒设置的端口转发的设置
echo 删除65531端口转发
netsh interface portproxy delete v4tov4 listenport=65531
echo 删除65532端口转发
netsh interface portproxy delete v4tov4 listenport=65532 goto menu
注:中勒索病毒后445端口被deny掉,所以没有办法开默认共享
[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类相关推荐
- wireshark 抓 蓝牙数据_如何使用Wireshark对本机进行抓包、流量分析
本文仅用于讨论网络安全技术,以保护信息安全为目的,请勿用于非法用途! 如何使用Wireshark对本机进行抓包.流量分析-1.jpg (102.32 KB, 下载次数: 0) 2020-2-4 11: ...
- 端口镜像NIDS技术(sniffer抓包)
端口镜像NIDS技术(sniffer抓包) NIDS是Network Intrusion Detection System的缩写,即网络***检测系统,主要用于检测Hacker或Cracker通过网络 ...
- 交换机设置trunk端口报错:Command rejected: An interface whose trunk encapsulation is “Auto“
有的交换机在将端口设置为trunk的时候会报这个错误, Command rejected: An interface whose trunk encapsulation is "Auto&q ...
- HuaWei设置镜像端口和观察端口
配置镜像接口,镜像端口是将报文复制到观察端口. # 将GigabitEthernet0/0/2接口配置为镜像接口. [Switch] interface gigabitethernet 0/0/2 ...
- Wireshark抓包——TCP协议分析
一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及"TCP三次握手".通过抓包和分析数据包来理解TCP/IP协议, ...
- 《精通Wireshark》—第2章2.2节抓包过滤器
本节书摘来自异步社区<精通Wireshark>一书中的第2章2.2节抓包过滤器,作者[印度]Charit Mishra(夏里特 米什拉),更多章节内容可以访问云栖社区"异步社区& ...
- Wireshark基础使用,SSL解密及http抓包入门教程
Wireshark VS Fiddler/Charles (一)下载与安装 (二)抓取https等解密 (三)报文传输各层简要介绍 Wireshark VS Fiddler/Charles Wires ...
- 【计算机网络】 课程大作业:利用Wireshark抓包并进行分析
目录 一:任务目的 二:任务内容 三:提交形式及时间 四:步骤 五.感悟 一:任务目的 (1)了解计算机网络TCP/IP的分层实现过程,了解不同层次PDU的逐层封装与解封过程: (2)熟悉网络通信的实 ...
- Wireshark抓包——ICMP协议分析
内容:使用Wireshark抓包,分析较简单的数据包. 环境:Windows 7,Wireshark. ping是用来测试网络连通性的命令. 一旦发出ping命令,主机会发出连续的测试数据包到网络中, ...
- linux 网络命令 dns,[LN_03] Linux网络环境查看(网卡|路由|DNS|IP)、网络测试命令(端口探测|路由跟踪|抓包|ssh连接)...
一.Linux网络环境查看命令 1. 查看&临时配置网络状态命令 # 查看IP.MAC.Mask ifconfig # 临时设置指定网卡的网络配置 ifconfig eht0 192.168. ...
最新文章
- web.xml配置错误页面,及输出错误信息
- 程序员为什么要单身?
- 使用百度webuploader上传组件直接上传到七牛云表单上传
- 013_logback中的SyslogAppender
- C++:迭代器(STL迭代器)iterator详解
- ---Android源码的下载单独的git库的方法
- 获取JTextPane光标的位置
- java 多态 降低耦合_java多态
- 一个快速生成元素背景的 React 组件
- hdu1024Max Sum Plus Plus
- APP论坛社区软件源码 APP封装
- CentOS获取软件安装包源码
- 3S基础知识:MapX应用教程—创建地图对象
- 计算机桌面上的照片转pdf免费,有没有免费将图片转PDF的工具?
- SUSE12系统安装
- 白蛇传 冯梦龙 警世通言
- 【光学】基于矩阵法和等效界面法分析光学薄
- msm8916的OTG接鼠标可以使用,但是接U盘无法识别。
- 按键精灵移动端系列 - IOS(苹果版)安装1.3.8 deb 下载地址
- 一周电商零售news汇总(1.18-1.25)