相关参考
计算机网络协议
| 应用层 | |
|---|---|
| DHCP | 动态主机配置协议(Dynamic Host Configuration Protocol)。用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。 |
| FTP | 文件传输协议(File Transfer Protocol)。用于Internet上的控制文件的双向传输。 |
| Gopher | 网际Gopher协议。Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具。只支持文本,不支持图像。 |
| HTTP | 超文本传输协议 (HTTP-Hypertext transfer protocol) 。是一种详细规定了浏览器和万维网服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议。 |
| IMAP4 | 交互式数据消息访问协议第四个版本(Internet Message Access Protocol 4) 。议与POP3协议一样也是规定个人计算机如何访问网上的邮件的服务器进行收发邮件的协议,但是IMAP4协议同POP3协议相比更高级。IMAP4支持协议客户机在线或者离开访问并阅读服务器上的邮件,还能交互式的操作服务器上的邮件。本协议是用于客户机远程访问服务器上电子邮件,它是邮件传输协议新的标准。 |
| IRC | 互联网中继聊天(Internet Relay Chat)。一种网络聊天协议,IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。 |
| NNTP | 网络新闻传输协议(Network News Transport Protocol)。是一个主要用于阅读和张贴新闻文章(俗称为“帖子”,比较正式的是“新闻组邮件”)到Usenet上的Internet应用协议,也负责新闻在服务器间的传送。 |
| XMPP | 可扩展通讯和表示协议(The Extensible Messaging and Presence Protocol)。一种基于XML的协议,可用于服务类实时通讯、表示和需求响应服务中的XML数据元流式传输。 |
| POP3 | 邮局协议的第3个版本(Post Office Protocol 3)。是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。 |
| SIP | 会话发起协议(Session Initiation Protocol)。是一个应用层的信令控制协议,用于创建、修改和释放一个或多个参与者的会话。 |
| SMTP | 简单邮件传输协议(Simple Mail Transfer Protocol)。是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。 |
| SNMP | 简单网络管理协议(Simple Network Management Protocol)。目标是管理互联网Internet上众多厂家生产的软硬件平台。 |
| SSH | 安全外壳协议(Secure Shell)。为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。 |
| TELNET | Internet远程登陆服务的标准协议。 |
| RPC | 远程过程调用协议(Remote Procedure Call Protocol)。是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。 |
| RTCP | RTP控制协议(RTP Control Protocol)。采用与数据包相同的分发机制,将控制包周期性传输到所有会话参与者中。 |
| RTP | 实时传输协议(Real-time Transport Protocol)。协议详细说明了在互联网上传递音频和视频的标准数据包格式。 |
| RTSP | 实时流传输协议(Real Time Streaming Protocol)。定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。 |
| SDP | 会话协议(Session Description Protocol)。为会话通知、会话邀请和其它形式的多媒体会话初始化等目的提供了多媒体会话描述。 |
| SOAP | 简单对象访问协议(Simple Object Access Protocol)。是一种轻量的、简单的、基于XML的协议,它被设计成在WEB上交换结构化的和固化的信息。 |
| STUN | NAT的UDP简单穿越(Simple Traversal of UDP over NATs)。允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。 |
| NTP | 网络时间协议(Network Time Protocol)。是用来使计算机时间同步化的一种协议。 |
| SSDP | 简单服务发现协议(Simple Service Discovery Protocol)。是构成通用即插即用(UPnP)技术的核心协议之一。 |
| GTP | GPRS隧道协议(GPRSTunnellingProtocol)。一组基于IP的,用于在GSM和UMTS网络中支持通用分组无线服务(GPRS)的通讯协议。 |
| Kerberos | Kerberos是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。它也指由麻省理工实现此协议,并发布的一套免费软件。它的设计主要针对客户-服务器模型,并提供了一系列交互认证——用户和服务器都能验证对方的身份。Kerberos协议可以保护网络实体免受窃听和重复攻击。 |
| 传输层 | |
|---|---|
| TCP | 传输控制协议(Transmission Control Protocol)。是一种面向连接(连接导向)的、可靠的、基于字节流的传输层(Transport layer)通信协议。 |
| UDP | 用户数据包协议(User Datagram Protocol)。一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。 |
| TLS | 安全传输层协议(Transport Layer Security)。用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 |
| DCCP | 数据报拥塞控制协议(Datagram Congestion Control Protocol)。是IETF提出取代UDP的新传输协议,用来传输实时业务。它是一个可以进行拥塞控制的非可靠传输协议,并同时提供多种拥塞控制机制。 |
| SCTP | 流控制传输协议(STREAM CONTROL TRANSMISSION PROTOCOL)。是提供基于不可靠传输业务的协议之上的可靠的数据报传输协议。SCTP的设计用于通过IP网传输SCN窄带信令消息。 |
| RSVP | 资源预留协议(Resource Reservation Protocol)。是IETF为QoS的综合服务模型定义的一个信令协议,用于在流(flow)所经路径上为该流进行资源预留,从而满足该流的QoS要求。 |
| PPTP | 点对点隧道协议(Point to Point Tunneling Protocol)。(PPTP: Point to Point Tunneling Protocol)。 |
| 网络层 | |
|---|---|
| IP | 网络互连协议(Internet Protocol)。为计算机网络相互连接进行通信而设计的协议。IPv4即IP协议第四版本,IPv6即IP协议第六版本。 |
| ICMP | Internet控制报文协议(Internet Control Message Protocol)。用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。ICMPv6即ICMP第六版。 |
| IGMP | Internet组管理协议(Internet Group Management Protocol )。是因特网协议家族中的一个组播协议,用于 IP主机向任一个直接相邻的路由器报告他们的组成员情况。 |
| IS-IS | 中间系统到中间系统的路由选择协议(Intermediate System to Intermediate System Routing Protocol)。是由 ISO 提出的一种路由选择协议,是电信运营商普遍采用的内部网关协议之一。 |
| BGP | 边界网关协议(Border Gateway Protocol)。是运行于 TCP 上的一种自治系统的路由协议。 BGP 是唯一一个用来处理像因特网大小的网络的协议,也是唯一能够妥善处理好不相关路由域间的多路连接的协议。 |
| OSPF | 开放式最短路径优先(Open Shortest Path First)。是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。 |
| RIP | 路由信息协议(Routing Information Protocol)。是一个内部网关协议(Interior Gateway Protocol,简称IGP)。 |
| ARP | 地址解析协议(Address Resolution Protocol)。是获取物理地址的一个TCP/IP协议。 |
| RARP | 反向地址转换协议(Reverse Address Resolution Protocol)。允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。 |
| 数据链路层 | |
|---|---|
| 802.11 | 协议是国际电工电子工程学会(IEEE)为无线局域网络制定的标准。 |
| PPP | 点对点协议(Point to Point Protocol)。是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 |
| L2TP | 第二层隧道协议(Layer 2 Tunneling Protocol)。是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 |
| STP | 生成树协议(Spanning Tree Protocol)。用于在网络中建立树形拓扑,消除网络中的环路,并且可以通过一定的方法实现路径冗余,但不是一定可以实现路径冗余。 |
| IGP | 内部网关协议(Interior Gateway Protocol)。是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化。 |
解题报告模版
# 解题报告模版
调查过程仅为自己的总结,根据具体恶意流量包和安全场景而变化。
## 题目
## 调查过程
根据题目中的要求,本次的任务目标为:
- 攻击总结:何时、谁、做了什么
- 受害者信息:Hostname、IP地址、MAC地址、Windows用户名
- IOCs(失陷指标):与感染相关的IP地址、域名、URL等,恶意软件的SHA256(如果流量包中存在)
### 资产排查
### 载荷排查
### 感染路径排查
## 结果
### 攻击总结
### 受害者信息
IP MAC Hostname ### IOCs
#### Domain
#### IP
#### SHA256
## 标准答案