网络攻击取证_服务器渗透攻击的取证分析

hacker|
253

linux服务器被攻击如何进行抓包来进行分析

用途

tcpdump简义:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpdump [-adeflnNOpqStvx][-c数据包数目][-dd][-ddd][-F表达文件][-i网络界面]

[-r数据包文件][-s数据包大小][-tt][-T数据包类型][-vv][-w数据包文件][输出数据栏位]

参数说明:

-a 尝试将网络和广播地址转换成名称。

-c数据包数目 收到指定的数据包数目后,就停止进行倾倒操作。

-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。

-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。

-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。

-e 在每列倾倒资料上显示连接层级的文件头。

-f 用数字显示网际网络地址。

-F表达文件 指定内含表达方式的文件。

-i网络界面 使用指定的网络截面送出数据包。

-l 使用标准输出列的缓冲区。

-n 不把主机的网络地址转换成名字。

-N 不列出域名。

-O 不将数据包编码最佳化。

-p 不让网络界面进入混杂模式。

-q 快速输出,仅列出少数的传输协议信息。

-r数据包文件 从指定的文件读取数据包数据。

-s数据包大小 设置每个数据包的大小。

-S 用绝对而非相对数值列出TCP关联数。

-t 在每列倾倒资料上不显示时间戳记。

-tt 在每列倾倒资料上显示未经格式化的时间戳记。

-T数据包类型 强制将表达方式所指定的数据包转译成设置的数据包类型。

-v 详细显示指令执行过程。

-vv 更详细显示指令执行过程。

-x 用十六进制字码列出数据包资料。

-w数据包文件 把数据包数据写入指定的文件。

案例

tcpdump -s 0 -i eth1  -w 94ip.cap

注:监听 ETH1网站 保存文件为94ip.cap

网云互联()是一家从事服务器安全防护、入侵检测、服务器代维等为一体的公司,免费服务器安全检测,并有24小时在线运维工程师为您服务。

怎样发现企业内网存在黑客的攻击渗透行为。

在当今网络威胁愈演愈烈的情况下,企业内网是否遭受攻击成为了许多企业迫切想了解的问题,如APT(Advanced Persistent Threat)这类攻击,具有长期性、潜伏性等特点,传统的网络安全设备很难监测到内网威胁,从2017年5月份爆发的wannacry事件的影响范围就可以证明这一点,从而可见内网威胁感知解决方案已经成为当今网络安全市场客户的刚性需求,安天对于此类需求已有一套成熟的解决方案,方案中包括蜜罐产品、失陷主机检测产品、威胁深度分析产品、取证工具产品等全方位的感知、定位内网威胁,发现威胁于一瞬,帮助企业了解内网威胁状态,进而采取应对措施。深圳市安之天

举出一个网络环境下的计算机取证的案例,并分析取证的过程 急 急

起例说明假如你在通过qq诈骗了我,让我给你汇了10万元。取证过程如下(对于个人,这基本上=不可能完成的任务)1、先通过显示ip地址的qq得到你的ip(这有两种可能。一种是真的是你的ip。另一种是你可能使用了代理服务器)2、联系你ip所地地的相对应网络服务商,让他提供x年x月x日x点x分,这个ip的使用情况(也就是这个ip分配给谁了。一般网络服务商会保存最少半年以上,但作为你个人去查这东西,结果应该是没有人理你,不给你看)3、如果取得了第二步证据后就可以起诉或报案了(普通网络犯罪你啥证据都没有情况下,报案也是白报。)个人认为目前网络诈骗类的,如果你上当了,如果金额在3万以下,还是认倒霉吧。因为你会为这件事支付的金额远远大于你损失的金额,而且还有可能赢了官司要不到钱。

0条大神的评论

发表评论