协会宣传网站开发方案,点击图片是网站怎么做的,营销策划方案网站,wordpress数据收集1.对于流量分析基本认识
1#xff09;简介#xff1a;网络流量分析是指捕捉网络中流动的数据包#xff0c;并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。 2#xff09;在我们平时的考核和CTF比赛中#xff0c;基本每次都有…1.对于流量分析基本认识
1简介网络流量分析是指捕捉网络中流动的数据包并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。 2在我们平时的考核和CTF比赛中基本每次都有流量分析这类题对于流量包的分析取证也是一种十分重要的题型。通常这类题目正常 都是会提供一个包含流量数据的pcap文件要我们从里面通过该文件筛选和过滤其中无关的流量信息再根据关键流量信息找出flag或者相关线索。
对于我个人来说前面作做这一类题只能简单的靠眼睛再加一点简单的过滤手法最终找到flag也是相当的困难还有很多关于whireshark使用方法没有学会再者还有比较熟练的直接用脚本跑所以 我打算再找找它其他的一些用法。 3pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的这款嗅探器经过众多开发使用者的不断完善现在已经成为使用最为广泛的安全工具之一。当然也是我做这类题最常用的工具之一了。
2.wireshark的基本使用
1主界面简介
打开wireshark后第一次进需要选择Capture然后是interface再下拉主菜单会出现两个对话框里面会列出捕获数据需要使用的各种设备以及ip地址选择需要使用的设备点击start之后就会把数据捕获并显示再框内到后面就可以直接用whireshark工具打开pcap文件它就会自动捕获流量包了
就像下面这样 一般选择本地出网的网卡就能捕获本地的数据包了如下 2快捷键和过滤手法
在我们分析数据时会用到一些常用快捷键
ctrlm 标记数据包
ctrlshiftN 跳到标记处
还有一些基于协议的过滤手法 补充点稍微详细点的 一般情况在使用Wireshark分析capture.pcapng数据包文件时这些数据中都会有非常多的ICMP报文这报文中有大量的非正常ICMP报文找出类型为重定向的所有报文就会让我们将“报文重定向的数量”作FIag 值提交。 flag格式flag{重定向数量}
过滤手法icmp.typeeq5
知识点 每一个包都是通过数据链路层DLC 协议IP协议和ICMP 协议共三层协议的封装。 DLC 协议的目的和源地址是MAC地址IP协议的目的和源地址是IP地址这层主要负责将上层收到的信息发送出去而ICMP协议主要是Type和Code来识别“Type8Code0”表示报文类型为诊断报文的请求测试包“Type0Code0”表示报文类型为诊断报文类型请求正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈
报文类型可归纳如下
诊断报文类型8代码0类型0代码0
目的不可达报文类型3代码0—15
重定向报文类型5代码0—4超时报文类型11代码0—1
信息报文类型12—18。 然后是一些基于协议衍生出来的过滤手法这里举一些http协议的 识别数据包数量 Wireshark自带功能会统计当前数据包的数量,过滤后根据过滤语句过滤后的数据包,统计数据包数过滤语法;http:response.code404
追踪流手法 追踪流手法是在我们平时考核比赛中,进行流量分析非常好用方法,它可以具体显示一个数据包的内容以及传输数据,简单的使用如下
比如下面这里追踪 MYSQL的传输流量,我们可以更清楚的看到 Hacker在攻击 MYSQL数据库时的路径
3常用筛选命令方法
根据IP地址进行筛选
命令汇总addr192.168.1.122∥/根据IP地址筛选,包括源ip或者目的IP
p.src192.168.1.122∥根据源IP地址筛选
dst192.168.1.122∥/根据目的IP地址筛选 a.根据IP地址进行筛选
使用命令:ip.addr10.255.0
命令大意:筛选出IP地址是10.255.0.1的数据包,包括源IP地址或者目的IP地址使用的是10.255.0.1的全部数据包。
b.根据源IP地址筛选使用命令:ip.src10.255.0.1
命令大意:筛选出源lP地址是10.255.0.1的数据包
c.根据目的P地址筛选使用命令:ip.dst10.255.0.1
命令解说:筛选出目的地址是10.255.0.1的数据包。
根据MAC地址进行筛选
命令汇总
eth addr20. dc e6. f3: 78:: cc
eth. src20: dc.e6. f3: 78: cc
eth. dst20; dc. e6: f3: 78. cc
1.根据MAC地址进行筛选 使用命令: eth addr20:dc:e6:f3:78:cc 命令解说:筛选出MAC地址是20:dc:e6:f3:78:CC的数据包,包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部数据包。
2根据源MAC地址筛选 使用命令:eth.src20:dc:e6:f3:78:cc
命令解说:筛选出源MAC地址是20:dc:e6:f3:78:CC的数据包
3根据目的MAC地址筛选 使用命令: eth. dst20:dc:e6:f3:78:cc
命令解说:筛选出目的MAC地址是20:dc:e6:f3:78:cC的数据包 题目实操
1.用whireshark打开题目附件一个pcnpng文件 这里用http过滤一下找到一个zip文件有点与众不同 把它导出去再做观察 导出后解压是六个txt文件打开后全是md5值猜测它应该并在一起是个什么东西 这里解码一个文件发现它是一个二维码的一部分 那就把它合在一起再次解码 解码得到flag值
flag{3819169573b7a37786d2ea39c6daef76}
2.
