Wireshark在流量分析中的使用

最新推荐文章于 2024-06-05 20:57:54 发布
最新推荐文章于 2024-06-05 20:57:54 发布
阅读量1w 收藏 8
点赞数 4
分类专栏: 个人笔记 文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51581045/article/details/121129177
版权

文章目录

简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

一、数据包筛选

可以筛选出特定的协议如HTTP,TELNET等也可以筛选ip地址,端口等,多条规则可以用&&,||链接。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、数据包搜索

wireshark的搜索功能支持正则表达式,字符串,16进制等。点击页面上的放大镜图标或在ctrl+f键进入搜索模式。一般使用字符串搜索。搜索模式在搜索栏的左边进行设置,有:分组列表,分组详情,分组字节流三个部分,选择不同选项以指定不同搜索区域。
分组列表:(显示的是获取的数据包)
在这里插入图片描述
分组详情:(显示的是单个数据包的协议,已格式化)
在这里插入图片描述
分组字节流:(显示单个数据包的原始数据,未格式化)
在这里插入图片描述

三、数据包还原

在wireshark中,纯在一个追踪流的功能,可以将HTTP和TCP的流量集合在一起,并还原成原始数据。
操作:选中想要还原的流量包,右键选择追踪流,选择追踪流类型。
在这里插入图片描述

四、 数据提取

wireshark支持提取通过http传输的文件内容。
操作:选中http文件传输流量包,在分组详情中找到data或Line-based text data:text data:text/html层,选中数据包,左键文件,导出分组字节流,右键点击选中显示分组字节。

五、实战中的使用

某公司内网被渗透,通过分析流量,查出黑客使用了什么账号登录了mail系统
思路:我们发现第一个mail系统的数据是28号,然后又到了登录界面的35号数据。
在这里插入图片描述
并在状态码为200的数据包中发现了密码的加密函数,使用AES的CBC加密,填充格式为ZeroPadding,密钥为字符串1234567812345678的hash值,偏移量为:1234567812345678,记录下来。
在这里插入图片描述
我们发现192.168.94.59这个IP一直在爆破,但是没有成功。
在这里插入图片描述
基本确定是攻击者的IP,加上过滤条件{http contains"{“success”: ture}" or http.requst.method==“POST”) and ip.addr==192.168.94.59
在过滤出来的包中找username与password,注意用MD5解出hash值
在这里插入图片描述
AES加解密:link.在这里插入图片描述解密后就可以提交flag了。

玛卡_八嘎
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
wirehark数据分析与取证flag.pcap
热门推荐
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析,分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
wireshark流量分析网络安全
夜思红尘的博客
04-18 3211
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
wireshark查看流量
最新发布
sun007700的专栏
06-05 426
点击 菜单的, 选择 项勾选下面选项..
wireshark网络安全流量分析基础
2201_75719295的博客
04-07 1889
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
WiresharkWireshark流量分析
A1_3_9_7的博客
01-12 1181
Wireshark流量分析
wirehark数据分析与取证hack.pcapng
Aluxian_的博客
09-26 3741
wiresharekhack.pcapng数据包数据包下载 请私信博主。
WireShark 网络流量分析包工具
09-06
下面将详细介绍Wireshark的功能、使用方法以及在实际工作的应用。 1. Wireshark的功能: - **捕获网络数据包**:Wireshark可以实时捕获来自不同网络接口的数据包,记录网络通信的详细信息。 - **解析数据包**:...
网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
流量分析工具Wireshark32.zip
05-28
Wireshark,你可以看到每个数据包的源地址、目标地址、端口号、协议类型以及负载内容等信息。此外,它还提供了强大的过滤功能,允许用户根据特定条件筛选显示的数据包,例如,只显示TCP或UDP协议的数据包,或者...
流量分析工具Wireshark64.zip
05-28
流量分析工具Wireshark64.zip
Suricata + Wireshark离线流量日志分析
10-06
4. **可视化审查:** 在Wireshark打开原始.pcap文件,通过过滤和搜索功能,针对日志的关键事件进行复查。 5. **深入调查:** 如果发现潜在问题,可以使用Wireshark的解码和分析功能,查看具体的数据包内容,了解...
CTF攻防世界 Misc高手进阶区 6分题 Wireshark(详细解析
weixin_66146598的博客
06-07 2491
继续ctf的旅程,攻防世界Misc高手进阶区的6分题,本篇是Wireshark的writeup,发现攻防世界的题目分数是动态的,就仅以做题时的分数为准了。
Wireshark学习
AlexSmoker的博客
01-31 7346
0x1 Wireshark安装和下载 老样子给出Wireshark下载地址Wireshark官网,下载完成后除了选择安装路径外都可以直接下一步默认安装配置。如果嫌下载慢我这还有刚下好的最新版本x64 v3.2.1,给大家带来便利网盘入口,密码:sayb 我这里安装的版本是Wireshark v3.0.6 0x2 Wireshark的安置 想要使用Wireshark首先要知道Wireshark部署...
wireshark工具详解、数据包取分析、使用教程
睡不醒的每天
11-21 1万+
显示该数据包的具体数据内容,最左侧的“0000、0010…"为该行数据在整个数据包的整体偏移量,所有数据以 16 进制显示。数据包概要信息窗口:描述每个数据包的基本信息。如图,点击某行数据,即可在下方显示该数据包的信息。的信息,可以点击每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。"为该行数据在整个数据包的整体偏移量,每层信息的左侧的三角形的下拉选项,打开每层信息的详细解析。原地址(请求本机ip) 和目标地址(响应主机ip)查询。:显示被选的数据包的解析信息,包含每个数据包的。
使用wireshark监控网络字节流
codepeter的博客
09-02 4152
1.1 简介 Wireshark(前称Ethereal)是一款功能强大的网络包分析工具,利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大地方便了对网络活动的监测分析。它有十分丰富和强大的统计分析功能,可在Windows,Linux 和UNIX等系统上运行。它的名称于2006年5月由原Ethereal改为WiresharkWireshark网络协议分析软件可以十分方便直观地应用于计算机网络原理,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网
网络安全·Wireshark流量
不忘初心,护天下安全!
04-10 6603
一、Wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之
wireshark来分析网络流量
weixin_34146986的博客
08-05 2066
网络流量分析网络管理人员日常工作必不可少的一步。现如今比较好用的分析工具有wireshark,sniff等等。而wireshark又因为其方便,免费而深受大家的喜爱。 从官网上下载了wireshark,安装之后,就可以用它来分析网络流量了。 点击Interface,wireshark会列出你计算机上存在的所有网卡。选你需要监控的网卡,单击start。wiresh...
wireshark流量分析--巧用过滤
D-R0s1的博客
09-17 6454
       流量分析在CTF的杂项占着很重要的一个部分,其实流量分析一般来讲也有一些小的技巧,在拿到流量包的时候,可以先利用过滤规则,过滤一波例如key,ctf,flag。这在ctf将会是一个十分可以提高效率的工作。 现在咱们使用一道流量分析的目来具体感受一下,首先,过滤一波,http contains”flag” 一过滤,果真能过滤出来东西,过滤出来以后一个一个追踪流, 当追...
wireshark 广播流量分析
03-27
Wireshark是一款开源的网络协议分析工具,它可以用于捕获和分析网络数据包。通过Wireshark,你可以查看网络传输的数据包,并对其进行详细的分析和解读。 广播流量是指在网络向所有主机发送的数据包。Wireshark可以帮助你分析广播流量,以了解网络的广播活动和相关的协议。 使用Wireshark进行广播流量分析的步骤如下: 1. 打开Wireshark软件,并选择要进行包的网络接口。 2. 开始捕获数据包,Wireshark将开始监听网络接口上的数据流量。 3. 在捕获过程,你可以应用过滤器来只显示广播流量。例如,你可以使用过滤器"eth.dst == ff:ff:ff:ff:ff:ff"来只显示目标MAC地址为广播地址的数据包。 4. Wireshark将显示捕获到的广播数据包,并提供各种详细信息,如源IP地址、目标IP地址、协议类型等。 5. 你可以进一步分析每个数据包的内容,查看其的字段和数据。 通过Wireshark进行广播流量分析可以帮助你了解网络的广播活动,识别潜在的问题或安全风险,并优化网络性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值