挖矿流量分析.pdfVIP

挖矿流量分析

笔记本：应急

创建时间：2022/12/88:29

一、概述

在对常规的挖矿流量进行分析时，常用的方法是通过抓取流量中的域名、ip地址然后丢到

威胁情报平台去分析，查看是否是具有挖矿木马行为标记，但是这里可能存在的问题是假

如威胁情报平台更新不及时，就无法及时准确判断出挖矿木马了。最近在参加一个ctf比赛

时，正好遇到一个对流量进行分析，识别出挖矿流量，由于给出的流量包已经对一些ip或

域名进行模糊，无法通过常规的方法进行筛选。所以只能依靠挖矿木马的一些流量特征进

行筛选，总结了下挖矿木马常见的一些特征。

二、常见特征

挖矿木马常用的协议为Stratum协议，而挖矿的流程主要是矿池和矿机之间进行交换，常

见的交互过程如下：

-1-

矿工网络主要分为矿机、矿池、钱包等几个部分组成，矿机与矿池之间的通讯协议是

stratum，而矿池软件和钱包之间的通讯为bitcoinrpc接口。