题目:
有黑客入侵工控设备后在内网发起了大量扫描,而且扫描次数不止一次。 请分析日志,指出对方第4次发起扫描时的数据包的编号,flag形式为 flag{}
1、下载后是一个capture.log,考虑到都是流量,改成wireshark能识别的后缀,capture.pcapng
2、打开后发现大量的tcp流量,不难发现,192.168.0.99是靶机,使劲被人攻击。
开始我的策略是手工分析出四个攻击时段的节点,于是就将时间显示格式调整为比较友好的类型,如图:
想以时间来区分,后来发现图样图森破,时间都很接近,那么多tcp怎么搞。
于是想到了协议,排序后,发现ICMP协议貌似刚好分成了四段(去掉了不成功的),如下:
那就以这个ICMP的流量作为开始吧,序号是155990,flag就是flag{155990}
发现是对的,纯粹运气啊,我也不知道为啥。