转载自:https://www.freebuf.com/column/202350.html
笔者都是作为CTF解题思路来讲述的日志分析方式,其实在真实的网络攻击中,日志分析方式大同
小异,这里引荐笔者的文章。
概念:
首先,咱们还是老规矩,先介绍一下什么是日志分析。
日志分析—-计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。日志分析是对
这些记录的评估,帮助公司缓解各种风险并满足合规性法规。
在当下的CTF大赛中,多以流量分析的形式出现,但是在个别比赛中依然会出现一题关于日志分析
类的题目,一般的题目都是会让我们通过日志找线索,不会将flag写在日志,因此我们需要通过分
析日志来判断,flag可能存在的位置,再通过类似的方式获取flag。
日志分析主要分成两种:
●Web日志分析
●系统日志分析
本期主要给大家带来Web日志分析。
日志格式类型:
既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些?
目前在比赛中比较常见的WEB日志格式主要有两类:
●Apache的NCSA日志格式,NCSA格式分为:
NCSA普通日志格式(CLF)
NCSA扩展日志格式(ECLF)
●IIS的W3C日志格式
除了格式不同之外,一般的分析方法基本相似,因此接下来以NCSA普通日志格式进行演示。
为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下:
常用日志分析方法:
常见的日志分析方法有两种:
1.特征字符分析
2.访问频率分析
特征字符分析:
评论0