CTF流量分析之wireshark使用

最新推荐文章于 2025-10-15 16:30:36 发布
原创 最新推荐文章于 2025-10-15 16:30:36 发布 · 3k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #wireshark #web安全 #网络安全 #安全 #学习 #测试工具

01.基本介绍

在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。

pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。

02.基本使用

Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。

1. 数据包筛选:

数据包筛选功能是wireshark的核心功能,比如需要筛选出特定的协议如HTTP,Telnet等,也可能需要筛选出ip地址,端口等。

1.1  筛选ip:

●源ip筛选

输入命令:ip.src == 地址

地址.webp.jpg

或者手动操作:

点击任意一个符合筛选条件的数据包,找到IPv4下的Source字段。

字段.webp.jpg

右键点击Source字段,作为过滤器应用 – 选中。

选中.webp.jpg

●目的ip筛选

输入命令:ip.dst == 地址

命令.webp.jpg

或者手动操作:

点击任意一个符合筛选条件的数据包,找到IPv4下的Destination字段,右键点击Source字段,作为过滤器应用 – 选中。

过滤器.webp.jpg

其他字段筛选与上面类似:

  1.2  mac地址筛选:

   eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址

   eth.addr==A0:00:00:04:C5:84 筛选MAC地址

  1.3  端口筛选:

   tcp.dstport == 80  筛选tcp协议的目标端口为80 的流量包

   tcp.srcport == 80  筛选tcp协议的源端口为80 的流量包

   udp.srcport == 80  筛选udp协议的源端口为80 的流量包

  1.4  协议筛选:

   tcp  筛选协议为tcp的流量包

   udp 筛选协议为udp的流量包

   arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

   1.5  包长度筛选:

    udp.length ==20   筛选长度为20的udp流量包

    tcp.len >=20  筛选长度大于20的tcp流量包

    ip.len ==20  筛选长度为20的IP流量包

    frame.len ==20 筛选长度为20的整个流量包

   1.6   http请求筛选

    请求方法为GET:http.request.method==“GET”筛选HTTP请求方法为GET的  流量包

    请求方法为POST:http.request.method==“POST”筛选HTTP请求方法为POST的流量包

    指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包

    请求或相应中包含特定内容:http contains “FLAG” 筛选HTTP内容为/FLAG的流量包

2. 数据包搜索:

在wireshark界面按“Ctrl+F”,可以进行关键字搜索:

关键字.webp.jpg

Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索。

字串.webp.jpg

搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域:

区域.webp.jpg

分组列表:

列表.webp.jpg

分组详情:

详情.webp.jpg

分组字节流:

分组.webp.jpg

3.  数据包还原

在wireshark中,存在一个交追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:

选中想要还原的流量包,右键选中,选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

流.webp.jpg

可在弹出的窗口中看到被还原的流量信息:

还原.webp.jpg

4. 数据提取

Wireshark支持提取通过http传输(上传/下载)的文件内容,方法如下:

选中http文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,鼠标右键点击 – 选中 导出分组字节流。

导出.webp.jpg

如果是菜刀下载文件的流量,需要删除分组字节流前开头和结尾的X@Y字符,否则下载的文件会出错。鼠标右键点击 – 选中 显示分组字节…

选中.webp.jpg

在弹出的窗口中设置开始和结束的字节(原字节数开头加3,结尾减3)

减.webp.jpg

最后点击save as按钮导出。

03总结

以上为wireshark网络嗅探器中关于流量分析在CTF比赛中的基本使用。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取 

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

CTFwireshark之文件还原
weixin_52620919的博客
07-30 3901
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
weixin_43137410的博客
10-09 4800
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考核+模拟渗透的形式,今天分享一题流量分析题的解题过程。 0x01 题目分析 题目名很直接,就叫wireshark,将压缩文件解压之后是一张名为“target.jpeg”的图片。 0x02 解析图片 目标明确,直接上binwalk。 通过binwalk分析,图片内还藏有一个zip压缩文件,使用命令 binwal
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
CTF-威胁检测与网络流量分析
最新发布
小司机的奥拓
10-15 849
ctf比赛中,流量包的取证分析是另一项重要的考察方向,它涉及到对网络通信数据包的捕获,解析和分析。流量分析(trafficanalysis)是指通过对网络通信数据包的捕获和分析来获取有关通信双方的信息,包括但不限于数据传输的内容,通信的时间和频率等。在网络安全领域,流量分析通常用于检测异常活动,发现潜在的攻击行为以及分析网络通信模式。通常比赛中会提供一个包含流量数据的pcap文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
ctf】whireshark流量分析之tcp_杂篇
一大口木的博客
12-21 5257
流量分析之tcp_杂篇
CTF流量分析-Wireshark基本用法
m0_56655241的博客
04-27 3974
Wireshark 简介 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。— 百度百科 Wireshark基本使用方法 主界面 说明 常用功能按钮从左到右一次是: 开始新的抓包 停止抓包 重新开始抓包 抓包设置 打开已保存的抓包文件 保存抓包文件 关闭抓包文件 重新加载抓包文件 查找分组 转到前一个分组 转到后一个分组 转到特定的分组
ctf中的wireshark流量分析软件下载
04-07
统计分析:生成各类统计数据,如流量图、协议层次结构、会话统计等,帮助用户掌握网络流量分布、趋势及使用情况 。 专家系统:内置专家系统,可检测并标记潜在网络问题,如协议错误、连接异常等 。 文件处理:支持...
网络安全CTF Web题型流量分析Wireshark工具使用与实战案例解析-流量分析及数据提取方法介绍
05-13
内容概要:本文详细介绍了CTF竞赛中Web题型的流量分析技巧,重点讲解了Wireshark这一网络封包分析工具的使用方法。文章首先简要介绍了Wireshark的功能和界面布局,随后深入探讨了过滤器的使用,包括IP、端口、协议、...
网络安全HTTP流量异常请求分析与CTFHUB方法绕过:基于Wireshark和cURL的CTF竞赛解题技术
05-14
使用场景及目标:①掌握使用Wireshark进行HTTP流量分析的方法;②学会利用cURL或Python脚本自定义HTTP请求方法;③理解如何通过流量包分析找到并利用非标准HTTP方法获取目标数据。; 阅读建议:本文内容较为专业,...
CTF 流量分析Wireshark Certificate例题
晚安這個未知的世界
01-27 8645
前言 昨晚6点多的时候,朋友突然给我发了一道流量分析题,当时在吃饭,结果一直到8点多才开始分析这个流量包,这种题在网上太少碰到 题目附件链接:https://pan.baidu.com/s/1Vz8XBen_nrkfqRxSDbN2sg 密码:7xq8 先打开附件,一看上去就只有TLSv1.2和TCP两种协议,以往流量包解的最多都是HTTP协议,所以我们要进行解密才能看到里面的包加密信息,然后由于前段时间的羊城杯CTF比赛也是有一题流量分析,里面有很多TCP协议,我就看一下是不是TCP隐写,结果不是。
精选资源
CTF-MISC-流量分析解题思路汇总(一)
12-11
CTF(Capture The Flag)是一种网络安全竞赛,其中MISC(杂项)类别常常包含了流量分析等需要综合运用网络知识和分析技巧的题目。流量分析是指通过观察和分析网络中传输的数据包来获取信息,这在网络安全领域尤为...
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
CTF学习笔记——WireShark 工具使用
2401_82847928的博客
07-31 637
获得其服务器ip地址后,使用抓包过滤器找到特定的icmp包。使用WireShark抓icmp包,用ping指令。
wireshark工具使用(超详细的保姆级教程,ctf小白必会)
qq_68064663的博客
10-14 2756
流量分析工具wireshark,杂项小白手必学,一文搞定基础
简单流量分析CTF(wireshark)
热门推荐
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
ctf】whireshark流量分析之ping篇
一大口木的博客
12-16 2169
ctf流量分析之ping篇
CTFWireshark流量分析题笔记
qq_66917161的博客
09-18 1464
X@Y~~~~~~~X@Y或者->|之类的是菜刀的标志位,在解码(选择压缩形式)时应该去除(开始位设为3)
渗透测试CTF-流量分析
保持微笑的博客
11-03 4670
渗透测试CTF-流量分析
CTFwireshark数据包分析(初学者必看)
weixin_52620919的博客
07-29 5210
预备知识 TCP/IP TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接: 【第一次握手】:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers)。 【第二次握手】:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),
ctf怎样使用wireshark快速找到flag
08-26
CTF比赛中,使用Wireshark进行网络流量分析是获取flag的重要手段之一。为了快速定位包含flag的数据包,可以采用以下策略: ### 1. 使用关键字搜索 CTF题目中的flag通常会以特定格式出现,例如`flag{...}`。可以利用Wireshark的搜索功能,直接搜索关键字`flag`,这样可以快速定位到包含flag的HTTP响应或TCP流中[^1]。 ### 2. 利用协议过滤器 Wireshark提供了强大的过滤功能,可以通过协议过滤器快速定位到特定协议的数据包。例如,如果flag是通过HTTP传输的,可以使用`http`作为过滤条件;如果知道flag是通过FTP传输的,可以使用`ftp`作为过滤条件[^2]。 ### 3. 使用显示过滤器 显示过滤器可以帮助进一步缩小查找范围。例如,可以使用`ip.addr == x.x.x.x`来过滤特定IP地址的数据包,或者使用`tcp.port == 80`来过滤特定端口的数据包。这些过滤器可以组合使用,以更精确地定位目标数据包[^3]。 ### 4. 追踪TCP流 对于通过TCP协议传输的flag,可以使用Wireshark的“追踪流”功能(右键点击TCP包,选择“追踪流” -> “TCP流”),将整个TCP会话的数据包汇聚在一起,方便查看完整的数据内容。在追踪的流中,可以更容易地找到flag[^3]。 ### 5. 检查HTTP请求和响应 如果flag是通过HTTP协议传输的,可以使用`http`作为过滤条件,然后检查HTTP请求和响应中的内容。特别注意POST请求,因为flag可能包含在POST请求的正文部分。可以使用`http contains "flag"`来直接搜索包含flag的HTTP数据包[^3]。 ### 6. 使用文件导出功能 对于包含flag的文件传输,可以使用Wireshark的文件导出功能。例如,如果flag是通过HTTP下载的文件,可以右键点击HTTP包,选择“导出对象” -> “HTTP”,然后查看导出的文件内容[^4]。 ### 7. 分析异常流量 在CTF比赛中,flag可能隐藏在异常流量中。例如,菜刀连接一句话木马的数据包通常会有特定的特征,如POST请求中包含`eval`和base64加密的内容。通过分析这些异常流量,可以找到flag[^1]。 ### 示例代码 以下是一个简单的Python脚本,用于从Wireshark导出的PCAP文件中提取包含`flag`的关键字: ```python import pyshark # 加载PCAP文件 cap = pyshark.FileCapture('example.pcap') # 遍历所有数据包 for packet in cap: try: # 检查数据包内容是否包含flag if 'flag' in packet.tcp.payload: print(f"Found flag in packet: {packet}") except: pass ``` 这段代码使用`pyshark`库来读取PCAP文件,并检查每个TCP数据包的有效载荷是否包含`flag`关键字。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值