封包分析 - 激發你的人腦極限 - 1
前言 最近發現自己對於封包分析的理解就卡在使用 Wireshark Filter 而已 XD 有夠愚蠢 💧 於是開始研究簡單的 Wireshark 用法以及判斷惡意流量的方式 為了避免本人腦抽,筆者把自己透過 HTB 學習封包分析的路徑畫成下圖~讓大家方便有效地學習! 學習路徑參考 當然,實際的經驗也是挺重要的,大家有興趣也可以參考: 1. TryHackMe 的 Traffic Analysis Essentials 2. HackTheBox 的 Network Traffic Analysis 系列 等等 簡單地了解惡意行為 👿 筆者簡單將惡意行為分成幾種:探測、嘗試讓你掛掉連別的、誘導你上當,以及繞過你的安全機制(當然也有可能是複合的情況,此處簡單舉例之)~ 探測(Reconnaissance) : 攻擊者先透過各種掃描手段來了解你的網路架構,例如使用 Nmap 掃 port、分析 beacon frame、或是觀察 Wi-Fi 加密方式,藉此找出漏洞下手。 嘗試讓你掛掉連別的(Denial or Forced Disconnection) : 像是 deauthentication 攻擊,就是逼你從原本的 Wi-Fi 斷線,好讓你誤連到假的(evil-twin)AP;或者利用 fragmentation 攻擊導致設備資源耗盡,造成 DoS。 誘導你上當(Social Engineering / Phishing) : 例如建立仿冒的登入頁面收集密碼,或是假裝是公司內部的 AP 引導使用者連線並輸入敏感資訊。 繞過你的安全機制(Evasion) : 例如透過封包切割繞過防火牆與入侵偵測系統(IDS),或偽裝成合法設備(如 MAC spoofing)來取得內部網路的權限。 了解基礎款攻擊 我們在此分成幾類,從實體層到應用層 ~可以先簡單看過名詞就好 👀 攻擊層級分類 實體層(Physical Layer) 攻擊範圍:裝置硬體、訊號干擾 常見手法: 無線干擾(Jamming) 裝設 USB 惡意設備(例如 Rubber Ducky) 替換設備硬體(Supply Chain Attack) 資料連結層 / 無線層(Data Link / Wireless Layer) 攻擊範圍:MAC 位址、Wi-Fi...