写点什么

美国国家安全局实在太坏了,我用 WireShark 结合一款神器成功绘画出入侵者的地图!

作者:wljslmz
  • 2022 年 9 月 07 日
    江苏
  • 本文字数:1954 字

    阅读完需:约 6 分钟

美国国家安全局实在太坏了,我用WireShark结合一款神器成功绘画出入侵者的地图!

你好,这里是网络技术联盟站。


9 月 5 日发生的西北工业大学遭美国 NSA 网络攻击的事情大家相信在各种渠道都听说了,国家计算机病毒应急处理中心官网有对这件事情的详细介绍,大家可以详细看看:



我看完后并没有太大的反应,因为这种事情屡见不鲜了,只是很少报道出来。



这次国家选择将这个事件扩大化,肯定有其道理,政治问题留给大家私下讨论,咱们技术类号不做讨论。


我们先来回顾一下此次事件的时间线:



看到这个时间线,我们知道西北工业大学在 6 月份已经被攻击,只是不知道来源是哪里,直到 9 月 5 日,才追踪到源头是美国国家安全局,有相关报道称,美国近年来对中国进行了超过 1 亿次恶意网络攻击,收集了超过 140 GB 的数据,实在是骇人听闻!


可以毫不夸张地说,在现在这样的时代,个人隐私数据已经成为空谈,不过在中国,我们国家可以保护我们中国人的隐私数据,但是有特殊目的的外国就不一样,就从我们用的苹果手机来说,对于苹果来说,数据就跟透明的玻璃一样。


这次的网络攻击事件,国家计算机病毒应急处理中心和 360 公司联合技术团队进行了深入分析,最后终于把毒刺找到,那么作为技术人员,你知道如何针对访问的流量进行分析,找到其发源地吗?

前提说明

当然了,国家怎么找到攻击源头的,我们不知道,因为既然是网络攻击,肯定不是普通意义上用到的技术,已经超出我们在看的各位的技术储备,本文要介绍的是一个简单的方法,不过也不是非常简单,很多人也没有使用过。


先直接给大家看下效果:



我们看到流量会直接以地图的形式展示出来,这个统计是通过大家都知道的 wireshark 抓包工具实现的,下面我们来详细的介绍一下如何使用。

WireShark/MaxMind

WireShark 是一个家喻户晓的抓包工具,不多解释了,通过 WireShark 可以很轻松的去进行抓包分析,一般小的入侵也能通过 WireShark 去分析出来。


MaxMind,可以简单的看作是为 IP 地址提供位置数据的工具。


我们知道使用 WireShark 可以直接知道某个数据包的源目 IP 地址,但是绝大数时候,我们不会去一个 ip 地址一个 ip 地址去查属于哪个国家哪个城市,这个时候,很难直观去统计出或者看出数据包的来源地。


那么 MaxMind 结合 WireShark 就可以实现。

演示效果

首先我来演示效果:


第一步:打开 WireShark 并开启抓包。



第二步:先看下目前流量涉及哪些地区。



我们看到由于我目前是在中国,所以只有中国的点。


第二步:ping 一下其他国家的 ip。


  • 14.102.132.1



  • 2.58.252.1



  • 41.71.0.1



先 ping 这三个国家的吧:


ping 14.102.132.1ping 2.58.252.1ping 41.71.0.1
复制代码



由于是国外的站点,所以丢包正常哈。


我们再来看下 WireShark 抓到的包:





然后我们再来看下流量地图:



是不是很清晰看到了上面我们 ping 的三个国家的地址了,中间还有香港和新加坡的点是因为路由的问题,我用了代理。

和入侵事件绑定

想象一下,假如境外不法分子通过 WireShark 能够捕获的协议进行攻击你,恰好你的服务器也进行了抓包分析,这个时候结合这个工具就很容易的直观的追踪到大概是哪个国家哪个城市的服务器攻击你,可以节省很多时间。

WireShark 如何集成 MaxMind?

下载 MaxMind

访问https://www.maxmind.com/en/accounts/762406/geoip/downloads进行下载以下三个文件:



首次下载需要先注册注册,有点麻烦,如果不想注册下载的,可以在本公众号【网络技术联盟站】后台回复”MaxMind“即可,我都下载好了。

解压相关文件

如果通过公众号下载的,这步可以省略。


我们将解压后的文件夹中,以.mmdb 结尾的文件集中到某个文件夹中,这里我新建了一个名为 MaxMind 的文件夹:


WireShark 集成 MaxMind

打开 WireShark,菜单栏点击【编辑】,点击【首选项】,点击【Name Resolution】:



拉到底,我们会看到【MaxMind database directories】,这里就是要设置我们刚刚新建的 MaxMind 文件夹:



点击【ok】,到此集成结束。


💡 总体来说,没啥难度,主要就是下载,这块下载地址比较难找,我也是找了半天才找到,还有就是需要注册,有时候网络访问还挺慢。

使用 MaxMind 的 map 功能

第一步:打开 WireShark 开启抓包:



第二步:点击菜单栏【统计】——>【端点】:



第三步:map


这里我们看到底部会有 map 功能,这个就是生成地图的按钮:



我们可以选择不同协议的 map 功能:



这里我们选择 IPV4,选择在浏览器中打开:



这个时候你就看到了本地给你生成了一个 html 文件,相关流量的地图也就呈现出来了:



至此,使用 MaxMind 的 map 功能完成了。

总结

通过这次西北工业大学遭到美国攻击的事件,我们深刻理解了习近平总书记说的“网络安全为人民,网络安全靠人民”,我们自己也要时刻保持警惕,将网络安全置为重中之重。本文下部分给大家介绍了地图化显示 IP 流量信息,使用的工具就是家喻户晓的 WireShark 抓包工具,集成 MaxMind 即可实现,大家看完本篇文章后也可以去试试哦。


希望本文对您有所帮助,最后感谢您的阅读,如果觉得文章对您有帮助,别忘了点赞👍、收藏⭐哦!有任何问题,欢迎在下方评论区与我讨论!!!

发布于: 1 小时前阅读数: 4
用户头像

wljslmz

关注

极致主义者,追求技术的路上,勇往直前! 2021.05.24 加入

公众号:网络技术联盟站 👍InfoQ签约作者 👍阿里云社区签约作者 👍华为云 云享专家 👍BOSS直聘 创作王者 👍腾讯课堂创作领航员 博客+论坛:https://www.wljslmz.cn 工程师导航:https://www.wljslmz.com

评论

发布
暂无评论
美国国家安全局实在太坏了,我用WireShark结合一款神器成功绘画出入侵者的地图!_Wireshark_wljslmz_InfoQ写作社区