Wireshark分析：如何找出黑客后门程序监听端口

背景： 你是某公司安全部门的一名安全工程师，某天运维部门的同事发现处在公司dmz区域的一台windows服务器c盘下的test文件夹中的文件无法打开，里面有很重要的内容，现在疑似被黑客攻击了，因为公司对安全建设投入的资金较少，所以没有soc，防火墙等安全设备，但是好在运维同事正在学习使用wireshark这个工具，在黑客攻击的时间段的流量被他用使用wireshark工具保存了，你需要帮助他排查一下问题，下面是运维同事比较关注的一些问题列表，请你帮忙解答，因为这台服务器中存放了比较敏感的数据，也防止你的操作对服务器进行二次污染，所以为你提供了一台操作机，pcap攻击流量已经放置在这台操作机的桌面上了，文件名称为data.pcapng，当然你也可以直接登录这台被攻击的windows机器并排查问题，操作机中提供的工具如下： 1.桌面/notepad++.exe 2.桌面/wireshark.exe 3.桌面/whatinstartup.exe 4.桌面/Procexp64.exe 运维同事对这台linux服务器记录的信息如下 1.服务器的ip为202.10.20.200 2.用户名和密码为administrator/com.1234 3.d盘曾经备份过c盘的test文件夹 问题： 黑客留下的后门程序监听的端口是什么？ 内容： 要解答这个问题，我们可以通过分析Wireshark捕获的数据包来查找黑客后门程序所监听的端口。请按照以下步骤进行操作： 1. 在操作机上打开Wireshark。 2. 从桌面上将data.pcapng文件导入Wireshark。 3. 在Wireshark的过滤器栏中输入以下过滤器：ip.src == 202.10.20.200。 这将仅显示来自被攻击的服务器的流量。 4. 浏览Wireshark捕获的数据包，寻找与黑客攻击相关的流量。 5. 查找与黑客攻击相关的TCP或UDP流量。 6. 检查数据包中的目标端口，以确定黑客后门程序所监听的端口。 请注意，由于没有提供具体的攻击时间段或其他详细信息，这只是一个一般的指导步骤。具体的操作和分析可能需要根据数据包的内容进行调整。