封包分析 - 激發你的人腦極限 - 1

前言

最近發現自己對於封包分析的理解就卡在使用 Wireshark Filter 而已 XD 

有夠愚蠢 💧

於是開始研究簡單的 Wireshark 用法以及判斷惡意流量的方式

為了避免本人腦抽，筆者把自己透過 HTB 學習封包分析的路徑畫成下圖～讓大家方便有效地學習！

學習路徑參考

當然，實際的經驗也是挺重要的，大家有興趣也可以參考：

1. TryHackMe 的 Traffic Analysis Essentials 

2. HackTheBox 的 Network Traffic Analysis 系列

等等

簡單地了解惡意行為 👿

筆者簡單將惡意行為分成幾種：探測、嘗試讓你掛掉連別的、誘導你上當，以及繞過你的安全機制（當然也有可能是複合的情況，此處簡單舉例之）～

1. 探測（Reconnaissance）：
   
   攻擊者先透過各種掃描手段來了解你的網路架構，例如使用 Nmap 掃 port、分析 beacon frame、或是觀察 Wi-Fi 加密方式，藉此找出漏洞下手。

2. 嘗試讓你掛掉連別的（Denial or Forced Disconnection）：
   
   像是 deauthentication 攻擊，就是逼你從原本的 Wi-Fi 斷線，好讓你誤連到假的（evil-twin）AP；或者利用 fragmentation 攻擊導致設備資源耗盡，造成 DoS。

3. 誘導你上當（Social Engineering / Phishing）：
   
   例如建立仿冒的登入頁面收集密碼，或是假裝是公司內部的 AP 引導使用者連線並輸入敏感資訊。

4. 繞過你的安全機制（Evasion）：
   
   例如透過封包切割繞過防火牆與入侵偵測系統（IDS），或偽裝成合法設備（如 MAC spoofing）來取得內部網路的權限。
   
   

了解基礎款攻擊

我們在此分成幾類，從實體層到應用層 ～可以先簡單看過名詞就好 👀

攻擊層級分類

實體層（Physical Layer）

攻擊範圍：裝置硬體、訊號干擾

常見手法：

• 無線干擾（Jamming）
  
  
• 裝設 USB 惡意設備（例如 Rubber Ducky）
  
  
• 替換設備硬體（Supply Chain Attack）
  
  

資料連結層 / 無線層（Data Link / Wireless Layer）

攻擊範圍：MAC 位址、Wi-Fi 

常見手法：

• Deauthentication 攻擊（強制下線）
  
  
• MAC Spoofing（假冒設備）
  
  
• Evil Twin / Rogue AP（偽造基地台）
  
  
• Beacon Flood 攻擊（瘋狂廣播假 SSID）
  
  

網路層（Network Layer / IP Layer）

攻擊範圍：IP 封包傳遞與路由

常見手法：

• Fragmentation 攻擊
  
  
• IP Spoofing（偽造來源 IP）
  
  
• Routing 攻擊（更改路由資訊）
  
  

傳輸層（Transport Layer）

攻擊範圍：TCP、UDP 通訊行為

常見手法：

• TCP SYN Flood（半開連線耗盡資源）
  
  
• Port Scanning（探測服務端口）
  
  
• Session Hijacking（劫持 TCP 連線）
  
  

應用層（Application Layer）

攻擊範圍：Web 應用、協定漏洞、人為操作

常見手法：

• XSS / SQL Injection
  
  
• DNS Spoofing / HTTP Downgrade
  
  
• Fake Captive Portal（釣魚登入頁）
  
  
• ARP Spoofing + DNS Redirection

深入了解攻擊 ＆ 分析方式

筆者以幾個攻擊手法為例，然後使用 HTB Academy 的範例 pcap 檔為例，做初步分析給大家參考！

Fragmentation 封包分段攻擊

平常傳輸太大的資料時，電腦會把資料分成很多小塊（封包）傳送，再在對方那邊組合起來。
這叫做「封包分段」（Fragmentation）。

攻擊者故意：

• 把資料切得超細（像碎片一樣）

• 或是改掉分段的順序/格式

• 利用系統來不及組合或組合錯誤
  
  

這樣會怎樣？

1. 躲過偵測（繞過防火牆／IDS）
   
   防火牆還沒組合，就沒發現這是攻擊。

2. 讓設備當機（DoS 攻擊）
   
   舊設備會被組合過大的封包給搞掛！

3. 耗盡資源（資源耗盡攻擊）
   
   攻擊者不斷丟碎碎的封包，讓防禦系統累死自己。
   
   

常見用法：

nmap -f 10 <目標 IP>

這指令會讓 Nmap 掃描時產生碎碎的小封包（MTU 只有 10 bytes）。

一句話總結：

Fragmentation 攻擊就是「把攻擊藏在碎碎的資料裡」，讓你來不及組合就中招。

 

看看分析封包的思路（HTB Lab 為例子）：

1. 開啟檔案，先看整體裝置活動

Statistics → Endpoints

• 可以看到有哪些 MAC / IP 出現
  
  
• 看哪個裝置發出的封包最多、收最多，可能就是攻擊者或目標
  
  
• 可以切換不同的 Protocol（Ethernet、IPv4、TCP、UDP）

會發現這個例子很單純，只有兩個端點裝置發出一堆封包～

2. 打開主頁看看

用肉眼看會發現，有個端點一直在 Ping 192.168.10.1。

3. 看看有無 RST（Reset）？

觀察有無 RST（Reset）封包 是初步辨別有無掃描或異常連線行為的好方法之一，接著來試試！

怎判斷？

在 Wireshark 下以下 Filter：

tcp.flags.reset == 1

恩，很多呢！192.168.10.1 一直在回傳 RST 封包，Source port (此處是指被掃瞄的 port) 都是不同的 port ~

接下來，我們來仔細看看他是否有其他特徵～

4. 觀察其他

用 filter 篩出碎片封包：

ip.flags.mf == 1 || ip.frag_offset > 0

哎呀，看到一堆同 Mac Address (初步判斷同裝置，雖然可以偽造) 同 IP 對 192.169.10.1 發出碎片封包！

觀察來源 IP ＆ Mac Address：是不是同一台裝置？

是不是還有發出其他異常封包？（例如 SYN flood、Nmap scan）

看 Fragment 大小、數量、間隔是否可疑

正常應該是幾個片段後就會重組，異常則可能數百個碎片、大小極小

5. 初步推測

基於以上跡象，判斷有可能是 Fragmentation 封包分段攻擊，因為它符合上面的初步特徵判斷！

參考來源

HTB Academy - Intermediate Network Traffic Analysis

總結與預告

這次我們介紹了簡單的學習路徑＋網路相關的攻擊和封包分析～

下一章節我們會針對 Wifi 的部分的封包分析進行一一介紹！