建设商业网站,公司网站外包,建设网站过程第一阶段,杭州论坛网站制作01.基本介绍在CTF比赛中#xff0c;对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件#xff0c;参赛选手通过该文件筛选和过滤其中无关的流量信息#xff0c;根据关键流量信息找出flag或者相关线索。pcap流量包的分析通常都是…01.基本介绍在CTF比赛中对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件参赛选手通过该文件筛选和过滤其中无关的流量信息根据关键流量信息找出flag或者相关线索。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的这款嗅探器经过众多开发者的不断完善现在已经成为使用最为广泛的安全工具之一。接下来斗哥来为大家讲解这款工具的基本使用。02.基本使用Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。1. 数据包筛选数据包筛选功能是wireshark的核心功能比如需要筛选出特定的协议如HTTPTelnet等也可能需要筛选出ip地址端口等。1.1 筛选ip●源ip筛选输入命令ip.src 地址地址.png (107.75 KB, 下载次数: 11)2019-3-26 15:04 上传或者手动操作点击任意一个符合筛选条件的数据包找到IPv4下的Source字段。字段.png (123.3 KB, 下载次数: 3)2019-3-26 15:04 上传右键点击Source字段作为过滤器应用 – 选中。选中.png (300.99 KB, 下载次数: 4)2019-3-26 15:05 上传●目的ip筛选输入命令ip.dst 地址筛选.png (49.6 KB, 下载次数: 4)2019-3-26 15:06 上传或者手动操作点击任意一个符合筛选条件的数据包找到IPv4下的Destination字段右键点击Source字段作为过滤器应用 – 选中。选中.png (529.26 KB, 下载次数: 7)2019-3-26 15:07 上传其他字段筛选与上面类似1.2 mac地址筛选:eth.dst A0:00:00:04:C5:84 筛选目标mac地址eth.addrA0:00:00:04:C5:84 筛选MAC地址1.3 端口筛选tcp.dstport 80 筛选tcp协议的目标端口为80 的流量包tcp.srcport 80 筛选tcp协议的源端口为80 的流量包udp.srcport 80 筛选udp协议的源端口为80 的流量包1.4 协议筛选tcp 筛选协议为tcp的流量包udp 筛选协议为udp的流量包arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包1.5 包长度筛选udp.length 20 筛选长度为20的udp流量包tcp.len 20 筛选长度大于20的tcp流量包ip.len 20 筛选长度为20的IP流量包frame.len 20 筛选长度为20的整个流量包1.6 http请求筛选请求方法为GEThttp.request.method“GET”筛选HTTP请求方法为GET的 流量包请求方法为POSThttp.request.method“POST”筛选HTTP请求方法为POST的流量包指定URIhttp.request.uri“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包请求或相应中包含特定内容http contains “FLAG” 筛选HTTP内容为/FLAG的流量包2. 数据包搜索在wireshark界面按“CtrlF”可以进行关键字搜索关键字.png (189.64 KB, 下载次数: 4)2019-3-26 15:09 上传Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索通常情况下直接使用字符串方式进行搜索。字符.png (54.78 KB, 下载次数: 6)2019-3-26 15:09 上传搜索栏的左边下拉有分组列表、分组详情、分组字节流三个选项分别对应wireshark界面的三个部分搜索时选择不同的选项以指定搜索区域指定 区域.png (47.46 KB, 下载次数: 2)2019-3-26 15:11 上传分组列表分组 1.png (94.13 KB, 下载次数: 3)2019-3-26 15:12 上传分组详情分组 2.png (96.49 KB, 下载次数: 4)2019-3-26 15:12 上传分组字节流分组 3.png (93.74 KB, 下载次数: 6)2019-3-26 15:13 上传3. 数据包还原在wireshark中存在一个交追踪流的功能可以将HTTP或TCP流量集合在一起并还原成原始数据具体操作方式如下选中想要还原的流量包右键选中选择追踪流 – TCP流/UPD流/SSL流/HTTP流。流.png (336.39 KB, 下载次数: 5)2019-3-26 15:13 上传可在弹出的窗口中看到被还原的流量信息弹出.png (74.89 KB, 下载次数: 6)2019-3-26 15:14 上传4. 数据提取Wireshark支持提取通过http传输(上传/下载)的文件内容方法如下选中http文件传输流量包在分组详情中找到data或者Line-based text data:text/html层鼠标右键点击 – 选中 导出分组字节流。鼠标.png (203.29 KB, 下载次数: 6)2019-3-26 15:15 上传如果是菜刀下载文件的流量需要删除分组字节流前开头和结尾的XY字符否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节…分组.png (238.14 KB, 下载次数: 4)2019-3-26 15:16 上传在弹出的窗口中设置开始和结束的字节(原字节数开头加3结尾减3)结尾.png (43.89 KB, 下载次数: 5)2019-3-26 15:16 上传最后点击save as按钮导出。03. 总结以上为wireshark网络嗅探器中关于流量分析在CTF比赛中的基本使用。下一篇流量分析文章为大家介绍CTF比赛中流量分析的基本题型解法。qrcode_for_gh_223e082fe8a7_430.jpg (41.93 KB, 下载次数: 7)2019-3-26 15:17 上传
