#原创分享#数据包分析入门（7）--- 如何快速判断客户端是否存在恶意连接

       当我们需要判断一个客户端是否存在恶意连接，最直接的方式是通过防火墙或安全设备的日志进行分析，但由于各种原因，如相关特征库未及时更新，又或者没有完善相关的安全策略，导致没有监控到相关的恶意行为，这时候可以通过网络数据包分析来判断客户端是否有这样的问题

分析举例：

1.数据包样本说明

  样本数据包里面有139个TCP会话，几乎所有会话都与域名访问有关，见下图：

  如何从这139个TCP会话中，快速判断出客户端是否存在恶意连接，可以通过以下步骤进行分析：

2.分析步骤

2.1对客户端访问的域名进行分类，排除正常连接

    如果一级域名是常用域名或者一些比较著名的域名，在后续的安全分析中，可以排除这一部分域名。如microsoft.com（微软）等域名的会话，一般可以排除是恶意连接，如下图所示：

2.2 结合端口和协议进行分析，排除正常连接

       135端口是很多恶意程序都会使用到的端口，在很多情况下，并不会出现某个域名+135端口的访问方式，但如果终端访问某个域名，不只有135端口的连接，还有389端口的LDAP协议连接，那这个135端口的连接，一般是正常连接。如下图所示：

2.3 通过非常规一级域名结合安全情报，找出异常连接

       如果客户端连接的域名以.cc , .xyz , .biz等非常规字段进行结尾，就很有可能是恶意连接，再结合安全情报，可以快速判断出恶意连接，如下图所示：

2.4 通过解包分析，判断客户端是否已被入侵

       通过解包情况，确认样本数据包的客户端已经与恶意地址有数据交付，证实客户端已被成功入侵，如下图所示：

3.分析总结

    通过以上几个步骤，可以快速判断客户端是否存在恶意连接， 以上列出的步骤，都是一些分析思路，可以根据实际情况，在分析中调整先后顺序，最终达成快速分析的目标即可。

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795

学习一下

关于抓包分析，很多时候多事一头雾水，希望多一下这样的帖子，谢谢楼主分享。

排查思路非常值得借鉴   但是看解包分析 是有数据交互  怎么看出来被入侵了呢？

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

分享的很实用，安全行业将来大有可为

数据包分析确实值得研究，另外帖子里用的软件工具是？

感谢分享。

感谢分享