预备知识
Wireshark的功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。本节使用的是winhex的评估版本,可以满足本实验需要。如果想对winhex有更深层次的了解,建议您去官方网站上进行详细了解。
实验目的
通过本实验了解Wireshark进行被动数据包捕获后的文件还原功能。
实验环境
服务器:Windows XP SP3,IP地址:随机分配
辅助工具:winhex,Wireshark
实验步骤一
黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。无意之中,他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,将通过以下三个任务完成那份上传文件的还原。
1)对抓到的包进行显示过滤,找到关键信息。
2)对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。
3)对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。
任务描述:使用wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。
1.打开catchme.pcapng,双击即可。会发现数据记录一共有148条。如果单纯的从开始到结尾去一条一条的审计,是非常费力的事情。而且实际操作过程中,大部分情况会多于148条记录。
2.此处,利用Wireshark提供的强大的过滤显示功能。在filter中可以定义显示的数据包类型。此处上传时访问的是