我用WireShark结合一款神器成功绘画出入侵者的地图!

·  阅读 1306
我用WireShark结合一款神器成功绘画出入侵者的地图!

“我报名参加金石计划1期挑战——瓜分10万奖池,这是我的第2篇文章,点击查看活动详情

你好,这里是网络技术联盟站。

9月5日发生的西北工业大学遭美国NSA网络攻击的事情大家相信在各种渠道都听说了,国家计算机病毒应急处理中心官网有对这件事情的详细介绍,大家可以详细看看:

我看完后并没有太大的反应,因为这种事情屡见不鲜了,只是很少报道出来。

这次国家选择将这个事件扩大化,肯定有其道理,政治问题留给大家私下讨论,咱们技术类号不做讨论。

我们先来回顾一下此次事件的时间线:

统计信息来源于百度搜索

统计信息来源于百度搜索

看到这个时间线,我们知道西北工业大学在6月份已经被攻击,只是不知道来源是哪里,直到9月5日,才追踪到源头是美国国家安全局,有相关报道称,美国近年来对中国进行了超过1亿次恶意网络攻击,收集了超过 140 GB 的数据,实在是骇人听闻!

可以毫不夸张地说,在现在这样的时代,个人隐私数据已经成为空谈,不过在中国,我们国家可以保护我们中国人的隐私数据,但是有特殊目的的外国就不一样,就从我们用的苹果手机来说,对于苹果来说,数据就跟透明的玻璃一样。

这次的网络攻击事件,国家计算机病毒应急处理中心和360公司联合技术团队进行了深入分析,最后终于把毒刺找到,那么作为技术人员,你知道如何针对访问的流量进行分析,找到其发源地吗?

前提说明

当然了,国家怎么找到攻击源头的,我们不知道,因为既然是网络攻击,肯定不是普通意义上用到的技术,已经超出我们在看的各位的技术储备,本文要介绍的是一个简单的方法,不过也不是非常简单,很多人也没有使用过。

我们看到流量会直接以地图的形式展示出来,这个统计是通过大家都知道的wireshark抓包工具实现的,下面我们来详细的介绍一下如何使用。

WireShark/MaxMind

WireShark是一个家喻户晓的抓包工具,不多解释了,通过WireShark可以很轻松的去进行抓包分析,一般小的入侵也能通过WireShark去分析出来。

MaxMind,可以简单的看作是为IP地址提供位置数据的工具。

我们知道使用WireShark可以直接知道某个数据包的源目IP地址,但是绝大数时候,我们不会去一个ip地址一个ip地址去查属于哪个国家哪个城市,这个时候,很难直观去统计出或者看出数据包的来源地。

那么MaxMind结合WireShark就可以实现。

演示效果

首先我来演示效果:

第一步:打开WireShark并开启抓包。

第二步:先看下目前流量涉及哪些地区。

我们看到由于我目前是在中国,所以只有中国的点。

第二步:ping一下其他国家的ip。

  • 14.102.132.1

  • 2.58.252.1

  • 41.71.0.1

先ping这三个国家的吧:

ping 14.102.132.1
ping 2.58.252.1
ping 41.71.0.1
复制代码

由于是国外的站点,所以丢包正常哈。

我们再来看下WireShark抓到的包:

ping 14.102.132.1

ping 14.102.132.1

ping 2.58.252.1

ping 2.58.252.1

ping 41.71.0.1

ping 41.71.0.1

和入侵事件绑定

想象一下,假如境外不法分子通过WireShark能够捕获的协议进行攻击你,恰好你的服务器也进行了抓包分析,这个时候结合这个工具就很容易的直观的追踪到大概是哪个国家哪个城市的服务器攻击你,可以节省很多时间。

WireShark如何集成MaxMind?

下载MaxMind

访问https://www.maxmind.com/en/accounts/762406/geoip/downloads进行下载以下三个文件:

首次下载需要先注册注册,有点麻烦,如果不想注册下载的,可以在本公众号【网络技术联盟站】后台回复”MaxMind“即可,我都下载好了。

解压相关文件

如果通过公众号下载的,这步可以省略。

我们将解压后的文件夹中,以.mmdb结尾的文件集中到某个文件夹中,这里我新建了一个名为MaxMind的文件夹:

WireShark集成MaxMind

打开WireShark,菜单栏点击【编辑】,点击【首选项】,点击【Name Resolution】:

拉到底,我们会看到【MaxMind database directories】,这里就是要设置我们刚刚新建的MaxMind文件夹:

点击【ok】,到此集成结束。

💡 总体来说,没啥难度,主要就是下载,这块下载地址比较难找,我也是找了半天才找到,还有就是需要注册,有时候网络访问还挺慢。

使用MaxMind的map功能

第一步:打开WireShark开启抓包:

第二步:点击菜单栏【统计】——>【端点】:

第三步:map

这里我们看到底部会有map功能,这个就是生成地图的按钮:

我们可以选择不同协议的map功能:

这里我们选择IPV4,选择在浏览器中打开:

这个时候你就看到了本地给你生成了一个html文件,相关流量的地图也就呈现出来了。

至此,使用MaxMind的map功能完成了。

总结

希望本文对您有所帮助,最后感谢您的阅读,如果觉得文章对您有帮助,别忘了点赞👍、收藏⭐哦!有任何问题,欢迎在下方评论区与我讨论!!!

分类:
后端
标签:
收藏成功!
已添加到「」, 点击更改