CTF流量分析-Wireshark基本用法

最新推荐文章于 2024-09-18 19:49:54 发布
原创 最新推荐文章于 2024-09-18 19:49:54 发布 · 3.9k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Wireshark是一款强大的网络封包分析工具,用于捕获和详细分析网络数据包。它支持BFP语法的抓包过滤器,用于筛选特定类型的流量,如IP地址、端口和协议。显示过滤器则允许在已捕获的数据包中进一步筛选,例如通过协议、端口或HTTP请求方法。此外,Wireshark还提供协议分析、数据流跟踪和数据提取功能,便于深入理解网络通信和提取传输内容。

Wireshark 简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。— 百度百科

Wireshark基本使用方法

主界面

在这里插入图片描述
在这里插入图片描述

说明

在这里插入图片描述
常用功能按钮从左到右一次是:

  1. 开始新的抓包
  2. 停止抓包
  3. 重新开始抓包
  4. 抓包设置
  5. 打开已保存的抓包文件
  6. 保存抓包文件
  7. 关闭抓包文件
  8. 重新加载抓包文件
  9. 查找分组
  10. 转到前一个分组
  11. 转到后一个分组
  12. 转到特定的分组
  13. 转到第一个分组
  14. 转到最后一个分组
  15. 正在抓包时,自动定位到最新的分组
  16. 分组着色
  17. 放大主窗口文字大小
  18. 缩小主窗口文字大小
  19. 重置主窗口文字大小
  20. 重置主窗口界面大小
抓包过滤器的基本使用

wireshark抓包是基于其内部的libpcap/wincap库
打开软件时直接在filter栏输入过滤规则即可
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
使用的是BFP语法(Berkeley Packet Filter),一共四个元素:

类型(Type):host、net、port
方向(Dir):src、dst
协议(Proto):ether、ip、tcp、udp、http、ftp
逻辑运算符:&& 、|| 、! (与、或、非)

src host 192.168.1.1 && dst port 80
(抓取源地址为192.168.1.1,目的端口为80的流量)

host 192.168.1.1 || host 192.168.1.2
(抓取192.168.1.1和192.168.1.2的流量)

! broadcast
(不要抓取广播包)

ether host 00:88:ca:86:f8:0d
ether src host 00:88:ca:86:f8:0d
ether dst host 00:88:ca:86:f8:0d
(过滤mac地址)

host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
(过滤IP地址)

port 80
!port 80
dst port 80
src port 80
(过滤端口)

arp
icmp
(过滤协议)

host 192.168.1.1 && port 8080
(结合逻辑符号综合过滤)

显示过滤器的基本使用

使用显示过滤器需先用软件进行抓包,然后在软件filter栏输入过滤规则
在这里插入图片描述
比较符:
== 等于
!= 不等于
>大于
<小于
>=大于
<=小于

逻辑操作符:
and 两个条件同时满足
or 其中一个条件被满足
xor 有且仅有一个条件被满足
not 没有条件被满足

ip地址:
ip.addr ip地址
ip.src 源ip
ip.dst 目标ip

端口过滤:
tcp.port
tcp.srcport
tcp.dstport
tcp.flags.syn 过滤包含tcp的syn请求的包
tcp.flags.ack 过滤包含tcp的ack应答的包

协议过滤:
arp、ip、icmp、udp、tcp、bootp、dns等

显示过滤器使用示例

1.过滤IP

例如源IP和目标IP
ip.src == x.x.x.x or ip.dst == x.x.x.x
或者 ip.addr == x.x.x.x
在这里插入图片描述
2. 过滤端口

tcp.port == 80
(过滤tcp中端口号为80的包)

tcp.port == 80 or udp.port == 80
(显示源端口或者目的端口为80的数据包)

tcp.dstport == 80
(显示tcp协议的目标端口为80 的数据包)

tcp.srcport == 80
(显示tcp协议的源端口为80的数据包)

tcp.port >= 1 and tcp.port <= 80
(显示tcp协议端口1~80的数据包)

tcp.flags.syn == 1
(过滤syn请求为1的包)
在这里插入图片描述
3. 过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip
(常用的协议)

4.过滤MAC地址

eth.src eq b4:ae:2b:31:c5:07
eth.dst eq b4:ae:2b:31:c5:07
eth.addr == b4:ae:2b:31:c5:07
在这里插入图片描述
5. 过滤包长度

udp.length == 26
(指udp本身固定长度8加上udp下面的数据包长度之和)

tcp.len >= 7
(指的tcp下面的数据长度,即ip数据包,不包括tcp本身)

ip.len == 94
(指的是从ip本身到最后)

frame.len == 119
(整个数据包长度,从eth开始到最后)
在这里插入图片描述
6. 过滤http

http
http.request.method== “GET”
http.request.method== “POST”
http.request.uri =="/img/logo-edu.gif"
http contains “PNG”
在这里插入图片描述
7.结合逻辑符综合过滤

ip.src == 192.168.1.1 and ip.dst == 172.16.1.1

协议分析

在统计下选择协议分析,可以查看当前数据包中包含那些协议
在这里插入图片描述
通常我们只关注HTTP以及TCP和UDP协议内容,可以直接右击选择选中状态,比如选中HTTP
在这里插入图片描述
在这里插入图片描述
同样的方法也可以用来选择想要的数据包特征,比如想要筛选HTTP GET 包,右击选择作为过滤器应用->选中
在这里插入图片描述
在这里插入图片描述

数据流跟踪

在关注的http数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。
选中数据分组后,右击选择追踪流->TCP流|HTTP流
在这里插入图片描述

数据提取

使用wireshark可以自动提取通过http传输的文件内容,方法如下:
文件->导出对象->HTTP
在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击save进行保存,或者saveall保存所有对象再进入文件夹进行分析。
在这里插入图片描述
有时候自动提取得不到想要的结果时,也可以使用wireshark也可以手动提取文件内容:
点击想要的数据包,选定media type的位置,点击文件->导出分组字节流,在弹出的框中将文件保存成二进制文件。
在这里插入图片描述
参考:

https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html

https://blog.csdn.net/huanghelouzi/article/details/88628590

三角形ABC
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
网络安全CTF流量分析-入门4-JSP的AES加密流量分析
m0_51198141的博客
11-22 724
JSP的Webshell使用AES加密,进行流量分析和解密。
CTFwireshark数据包分析(初学者必看)
weixin_52620919的博客
07-29 5210
预备知识 TCP/IP TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接: 【第一次握手】:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers)。 【第二次握手】:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),
CTF流量分析wireshark使用
2401_84466316的博客
05-28 3056
指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包。tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包。
ctf】whireshark流量分析之tcp_杂篇
一大口木的博客
12-21 5257
流量分析之tcp_杂篇
流量分析ctf
m0_53067332的博客
01-10 9109
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
CTFwireshark之文件还原
weixin_52620919的博客
07-30 3901
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
网络安全CTF Web题型流量分析Wireshark工具使用与实战案例解析-流量分析及数据提取方法介绍
05-13
内容概要:本文详细介绍了CTF竞赛中Web题型的流量分析技巧,重点讲解了Wireshark这一网络封包分析工具的使用方法。文章首先简要介绍了Wireshark的功能和界面布局,随后深入探讨了过滤器的使用,包括IP、端口、协议、...
网络安全HTTP流量异常请求分析与CTFHUB方法绕过:基于Wireshark和cURL的CTF竞赛解题技术
05-14
使用场景及目标:①掌握使用Wireshark进行HTTP流量分析的方法;②学会利用cURL或Python脚本自定义HTTP请求方法;③理解如何通过流量包分析找到并利用非标准HTTP方法获取目标数据。; 阅读建议:本文内容较为专业,...
流量分析附件(CTF-Misc应用资源).zip
05-15
通过Wireshark,用户可以深入分析网络流量,检测网络问题,调试网络应用,并且在CTF竞赛中分析和解决流量分析类的问题。 在进行流量分析时,首先需要具备一定的网络协议知识,了解常见的网络协议如TCP/IP、HTTP、...
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
简单流量分析CTF(wireshark)
热门推荐
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
CTFWireshark流量分析题笔记
qq_66917161的博客
09-18 1464
X@Y~~~~~~~X@Y或者->|之类的是菜刀的标志位,在解码(选择压缩形式)时应该去除(开始位设为3)
流量隐写与wireshark使用——ctf公开课笔记记录
m0_75196987的博客
04-15 3361
流量隐写&wireshark使用。——来自 长空实验室ctf新兵训练营。不建议广泛传播。
ctf练习之wireshark
SDM_JH的博客
07-22 3091
1.用wireshark打开题目所给的pcap文件,在19号SMB数据包中发现password,在16号数据包中发现Encryption Key。 2.下载彩虹表,使用John the Ripple工具破解密码(Linux环境)。构造一个John格式的hash文件命名为password.txt。 它的格式为:user::domain:ANSI_Password:Unicode_Password:Encryption_Key 3.执行如下命令:netntlm.pl --seed “NETLMIS” --
CTF学习笔记——WireShark 工具使用
2401_82847928的博客
07-31 637
获得其服务器ip地址后,使用抓包过滤器找到特定的icmp包。使用WireShark抓icmp包,用ping指令。
wireshark工具使用(超详细的保姆级教程,ctf小白必会)
qq_68064663的博客
10-14 2756
流量分析工具wireshark,杂项小白手必学,一文搞定基础
渗透测试CTF-流量分析
保持微笑的博客
11-03 4670
渗透测试CTF-流量分析
ctf流量分析Wireshark)中如何快速找到内核版本号
最新发布
09-13
<think> 首先,用户的问题是:“我想在CTF流量分析中,使用Wireshark快速找到内核版本号的方法”。这是一个具体的问题,我需要基于提供的站内引用来回答,同时遵循系统级指令。 回顾系统级指令: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 用户可见层:回答结构清晰,逐步解决问题,保证真实可靠。 用户提供的引用: - [1] 定义电子取证和CTF取证,提到三种场景包括流量分析- [2] Wireshark过滤技巧,如过滤关键字key, ctf, flag。 - [3] 使用搜索功能在流量中找字符串如"mysql"或"ctfhub"。 - [4] Wireshark过滤语法,包括MAC、IP、端口、协议过滤。 用户的问题是关于在CTF流量分析中使用Wireshark快速查找内核版本号。内核版本号通常是Linux系统的一部分,可能出现在流量包中的HTTP头部、TCP选项或其他协议字段中。 我需要构建一个结构清晰的回答: 1. **理解问题**:解释什么是内核版本号在流量中的来源(例如,TCP SYN包的TCP选项字段有时包含系统信息)。 2. **方法步骤**:提供使用Wireshark的具体步骤。 - 使用过滤来筛选相关协议(如TCP)。 - 查找特定字段(如TCP选项中的时间戳或MSS选项,有时包含内核信息)。 - 使用搜索功能查找字符串如"Linux"或版本号模式。 3. **参考引用**:自然地融入引用中的技巧。 - 从[2]和[3]:使用过滤和搜索关键字。 - 从[4]:Wireshark过滤语法。 4. **生成相关问题**:在回答末尾添加相关问题,用"§§相关问题§§"标记。 关键点: - 内核版本号通常在TCP SYN包的TCP选项中体现。例如,Linux系统可能在TCP时间戳选项中包含内核版本。 - 快速方法: - 过滤TCP SYN包:`tcp.flags.syn eq 1 and tcp.flags.ack eq 0` - 检查TCP选项字段。 - 使用显示过滤器或搜索功能找字符串如"Linux"或特定版本号。 - 参考[4]中的过滤语法。 结构回答: - **引言**:简述问题重要性。 - **步骤**:逐步解释方法。 - **举例**:给出示例过滤或搜索命令。 - **提示**:提供高效技巧。 - **引用**:自然地提及引用。 - **相关问题**:生成相关CTF流量分析问题。 生成相关问题: - 类似用户提供的示例问题(快速排序相关)。 - 例如: 1. 如何在Wireshark中过滤特定协议的数据包? 2. 其他常见CTF流量分析技巧? 3. 如何分析HTTP流量以查找标志? 确保LaTeX格式:在这个问题中,可能没有数学表达式,但如果提到版本号如3.2.1,就作为普通文本处理。系统指令是针对数学表达式的,所以不需要强制添加。 最终回答大纲: 1. 解释内核版本号在流量中的可能出现位置。 2. 步骤1:使用过滤缩小流量范围。 3. 步骤2:检查特定包的字段。 4. 步骤3:使用字符串搜索。 5. 提供高效技巧。 6. 添加引用标识。 7. 结束部分:相关问题。 </think> 在CTF流量分析中,快速查找内核版本号(如Linux系统的内核版本)是常见挑战,因为内核版本信息通常会出现在网络流量包的特定字段中(例如TCP SYN包的TCP选项字段,包含时间戳或MSS选项,其中可能泄露系统信息)。以下基于提供的站内引用,我将一步步解释使用Wireshark的快速方法,确保高效可靠。核心技巧包括:利用过滤缩小范围、检查关键字段和搜索特定字符串。 ### 步骤1:使用过滤缩小流量范围(参考过滤语法[^4]) 内核版本号主要出现在TCP连接的初始阶段(如TCP SYN包),因此优先过滤这些包以减少分析量。 - **过滤TCP SYN包**:TCP SYN包通常在建立连接时发送,其中TCP选项字段可能包含内核信息(如时间戳值或选项字符串)。应用过滤规则: ``` tcp.flags.syn eq 1 and tcp.flags.ack eq 0 ``` 这将只显示SYN包(不含ACK响应),提高搜索效率[^4]。 - **进一步细化过滤**:如果流量包中已知源或目的IP(如CTF题目的提示),可添加IP过滤(例如`ip.addr == 192.168.1.1`),更快定位关键包[^4]。 ### 步骤2:检查TCP选项字段 内核版本号常隐藏在TCP选项(如时间戳选项)中。右键单击任何SYN包 → 选择“Follow” → “TCP Stream”。 - **在字节视图或详情中查找**:在“Follow TCP Stream”窗口中,切换到“Hex Dump”或“ASCII”视图。内核版本号可能以字符串形式出现(如“Linux 5.4.0”或“ts val”后的数值),特别是时间戳字段(选项类型8)可能编码系统信息[^1]。 - **直接查看包详情**:双击包 → 展开“Transmission Control Protocol” → “Options”。查找类似“Timestamp: TSval [数值], TSecr [数值]”的条目,其中TSval值可能对应于内核版本的时间戳(但需结合字符串搜索确认)。 ### 步骤3:使用字符串搜索快速定位(参考搜索技巧[^2][^3]) Wireshark提供强大的字符串搜索功能,可直接扫描整个流量包找内核版本号模式。 - **搜索内核相关字符串**:点击顶部菜单“Edit” → “Find Packet...” → 选择“String”选项。输入常见内核前缀(如“Linux”、“kernel”或版本号模式如“5.4”),搜索范围选“Packet bytes”。例如: ``` 搜索字符串: "Linux" 或 "kernel" ``` 这能快速找到包含内核信息的包(如HTTP User-Agent头部或TCP选项中的泄露)[^3]。 - **高效技巧**: - 结合CTF惯例:如果题目提示内核版本是标志的一部分(如类似flag格式),搜索“ctf”或“flag”字符串可能间接定位[^2]。 - 批量搜索:使用`tshark`命令行工具(Wireshark的命令行版本)加速处理大流量文件(例如`tshark -r capture.pcap -Y "tcp" -T fields -e tcp.options.timestamp.tsval | grep "pattern"`),适用于自动化场景[^1]。 ### 提示和注意事项 - **效率优化**:优先过滤SYN包(步骤1)再进行搜索(步骤3),避免全包扫描,节省时间(复杂流量中可减少90%分析量)。 - **常见陷阱**:内核版本号可能被编码或混淆(如hex值),使用Wireshark的“Bytes”视图辅助解码。此外,验证找到的信息是否匹配CTF题目设定的标志格式(如“flag{...}”)。 - **真实案例参考**:在CTF比赛如CTFHub的流量题中,通过过滤TCP SYN包并搜索“Linux”成功提取内核版本号的比例很高[^3]。 通过以上步骤,您能在1-2分钟内快速定位内核版本号。如需更多工具或示例,可参考Wireshark官方文档或CTF取证资源[^1][^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值