Wireshark 数据包分析学习笔记 Day15

•line：折线图。

•Impulse：脉冲图。

•bar：柱形图。

•stacked bar：堆积柱形图。

•dot：点图。

•square：方块图。

•diamond：钻石图。

其实 dot、square、diamond 的表现形式几乎是相同的，只不过表示数据点的时候，dot 用的是圆点，square 用的是方块，而 diamond 用的菱形。

防火墙是防御 UDP Flooding 的主要设备，而它主要采用限流和指纹学习两种方式来实现防御。限流方式简单直接，就是设法将链路中的 UDP 报文控制在合理的带宽范围内。通常的控制方式主要有以下几种。

•基于目的 IP 地址的限流。

•基于目的安全区域的限流，即以某个安全区域作为统计对象，对到达这个安全区域的 UDP 流量进行统计并限流，超过部分丢弃。

•基于会话的限流，即对每条 UDP 会话上的报文速率进行统计，如果会话上的 UDP 报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的 UDP 报文都被丢弃。

指纹学习是通过分析 UDP 报文中的数据内容来判断它是否异常。防火墙首先会对发往某个服务器的 UDP 报文进行统计，当达到指定阈值时，就会开始进行指纹学习。如果这些报文携带的数据具有相同特征，就会被学习成指纹。后续的报文如果具有与此指纹相匹配的特征就会被当成攻击报文而丢弃。

amCharts 具有图表绘制功能。

缓冲区溢出是现在很典型的一种远程攻击方式，它利用了程序员在编写程序时的疏忽，从而实现了在远程设备上执行代码。这些攻击方式大都要通过应用层的协议实现。

如何获取缓冲区的长度：

•查询该漏洞的详细信息，以此来获得缓冲区的长度；

•使用 WinDBG 和 IDA Pro 对目标软件进行调试，计算出缓冲区的长度；

•在 Wireshark 中分析攻击载荷的内容，计算出缓冲区的长度。

使用了 xcap 工具（见图 16-9）来发送这个数据包。

•Tshark.exe：这个工具可以看作是 Wireshark 的命令行版本，可以用来捕获数据包，也可以读取保存好的数据包捕获文件。

•editcap.exe：主要用来转换捕获数据包捕获文件的格式。

•dumpcap.exe：和 tshark.exe 一样用来捕获数据包，保存为 libpcap 格式文件。•mergecap .exe：用来将多个数据包捕获文件合并成一个。

•capinfos.exe：用来将显示数据包捕获文件的信息。

•text2pcap.exe：将十六进制转储文件转换为数据包捕获文件。