WireShark流量分析（暴力破解）

女爷i 2022-10-29 05:24 364阅读 0赞

## **首先查看整个流量包，发现基本上为TCP和HTTP的流量数据。** ##

**依据图可知，是大量tcp，少量http，从少的开始**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70]  
**我们熟知对于web中HTTP协议中的POST方式的危害性最大，接下来将流量包进行筛选**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 1]  
**发现POST方式中，有一个频繁出现的IP地址一直在进行登录的尝试，现在初步判定为暴力破解**

**那再次进行筛选，单独将此IP筛选出来**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 2]  
**从开始看到结尾，此IP总共进行5秒钟的登录，判定在进行暴力破解**

![在这里插入图片描述][20210208201404160.png]  
**通过数据流量的长度来判断，攻击者是否有成功的破解到账户和密码**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 3]  
**如上图可知，数据包的长度与其他的数据流量长度不一致，很容易就可以判断出区别，点击进入数据流量中后，发现此IP成功请求到了main.php，应该是登录页面，表示他已经成功暴力破解到了账户和密码**  
![在这里插入图片描述][20210208202133885.png]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70]: /images/20221024/9b231c84f3b94330b869fb9477b8d515.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 1]: /images/20221024/22065e5bb0494d8f9745779311d79d19.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 2]: /images/20221024/c52f65445cae4e869fad72f7ec8479fe.png
[20210208201404160.png]: /images/20221024/198c7fbe6a614670a326eb158542f1c9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L29KaXVKaWVaaG9uZw_size_16_color_FFFFFF_t_70 3]: /images/20221024/3d0b9e6a37364d41b2d1e41198355730.png
[20210208202133885.png]: /images/20221024/c270bc3a429943ccbdd935c59ae2bb34.png