CTF流量分析-Wireshark基本用法

最新推荐文章于 2024-05-28 15:44:27 发布
最新推荐文章于 2024-05-28 15:44:27 发布
阅读量3.3k 收藏 26
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56655241/article/details/116189949
版权

Wireshark 简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。— 百度百科

Wireshark基本使用方法

主界面

在这里插入图片描述
在这里插入图片描述

说明

在这里插入图片描述
常用功能按钮从左到右一次是:

  1. 开始新的抓包
  2. 停止抓包
  3. 重新开始抓包
  4. 抓包设置
  5. 打开已保存的抓包文件
  6. 保存抓包文件
  7. 关闭抓包文件
  8. 重新加载抓包文件
  9. 查找分组
  10. 转到前一个分组
  11. 转到后一个分组
  12. 转到特定的分组
  13. 转到第一个分组
  14. 转到最后一个分组
  15. 正在抓包时,自动定位到最新的分组
  16. 分组着色
  17. 放大主窗口文字大小
  18. 缩小主窗口文字大小
  19. 重置主窗口文字大小
  20. 重置主窗口界面大小
抓包过滤器的基本使用

wireshark抓包是基于其内部的libpcap/wincap库
打开软件时直接在filter栏输入过滤规则即可
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
使用的是BFP语法(Berkeley Packet Filter),一共四个元素:

类型(Type):host、net、port
方向(Dir):src、dst
协议(Proto):ether、ip、tcp、udp、http、ftp
逻辑运算符:&& 、|| 、! (与、或、非)

src host 192.168.1.1 && dst port 80
(抓取源地址为192.168.1.1,目的端口为80的流量)

host 192.168.1.1 || host 192.168.1.2
(抓取192.168.1.1和192.168.1.2的流量)

! broadcast
(不要抓取广播包)

ether host 00:88:ca:86:f8:0d
ether src host 00:88:ca:86:f8:0d
ether dst host 00:88:ca:86:f8:0d
(过滤mac地址)

host 192.168.1.1
src host 192.168.1.1
dst host 192.168.1.1
(过滤IP地址)

port 80
!port 80
dst port 80
src port 80
(过滤端口)

arp
icmp
(过滤协议)

host 192.168.1.1 && port 8080
(结合逻辑符号综合过滤)

显示过滤器的基本使用

使用显示过滤器需先用软件进行抓包,然后在软件filter栏输入过滤规则
在这里插入图片描述
比较符:
== 等于
!= 不等于
>大于
<小于
>=大于
<=小于

逻辑操作符:
and 两个条件同时满足
or 其中一个条件被满足
xor 有且仅有一个条件被满足
not 没有条件被满足

ip地址:
ip.addr ip地址
ip.src 源ip
ip.dst 目标ip

端口过滤:
tcp.port
tcp.srcport
tcp.dstport
tcp.flags.syn 过滤包含tcp的syn请求的包
tcp.flags.ack 过滤包含tcp的ack应答的包

协议过滤:
arp、ip、icmp、udp、tcp、bootp、dns等

显示过滤器使用示例

1.过滤IP

例如源IP和目标IP
ip.src == x.x.x.x or ip.dst == x.x.x.x
或者 ip.addr == x.x.x.x
在这里插入图片描述
2. 过滤端口

tcp.port == 80
(过滤tcp中端口号为80的包)

tcp.port == 80 or udp.port == 80
(显示源端口或者目的端口为80的数据包)

tcp.dstport == 80
(显示tcp协议的目标端口为80 的数据包)

tcp.srcport == 80
(显示tcp协议的源端口为80的数据包)

tcp.port >= 1 and tcp.port <= 80
(显示tcp协议端口1~80的数据包)

tcp.flags.syn == 1
(过滤syn请求为1的包)
在这里插入图片描述
3. 过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip
(常用的协议)

4.过滤MAC地址

eth.src eq b4:ae:2b:31:c5:07
eth.dst eq b4:ae:2b:31:c5:07
eth.addr == b4:ae:2b:31:c5:07
在这里插入图片描述
5. 过滤包长度

udp.length == 26
(指udp本身固定长度8加上udp下面的数据包长度之和)

tcp.len >= 7
(指的tcp下面的数据长度,即ip数据包,不包括tcp本身)

ip.len == 94
(指的是从ip本身到最后)

frame.len == 119
(整个数据包长度,从eth开始到最后)
在这里插入图片描述
6. 过滤http

http
http.request.method== “GET”
http.request.method== “POST”
http.request.uri =="/img/logo-edu.gif"
http contains “PNG”
在这里插入图片描述
7.结合逻辑符综合过滤

ip.src == 192.168.1.1 and ip.dst == 172.16.1.1

协议分析

在统计下选择协议分析,可以查看当前数据包中包含那些协议
在这里插入图片描述
通常我们只关注HTTP以及TCP和UDP协议内容,可以直接右击选择选中状态,比如选中HTTP
在这里插入图片描述
在这里插入图片描述
同样的方法也可以用来选择想要的数据包特征,比如想要筛选HTTP GET 包,右击选择作为过滤器应用->选中
在这里插入图片描述
在这里插入图片描述

数据流跟踪

在关注的http数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。
选中数据分组后,右击选择追踪流->TCP流|HTTP流
在这里插入图片描述

数据提取

使用wireshark可以自动提取通过http传输的文件内容,方法如下:
文件->导出对象->HTTP
在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击save进行保存,或者saveall保存所有对象再进入文件夹进行分析。
在这里插入图片描述
有时候自动提取得不到想要的结果时,也可以使用wireshark也可以手动提取文件内容:
点击想要的数据包,选定media type的位置,点击文件->导出分组字节流,在弹出的框中将文件保存成二进制文件。
在这里插入图片描述
参考:

https://www.cnblogs.com/laoxiajiadeyun/p/10365073.html

https://blog.csdn.net/huanghelouzi/article/details/88628590

三角形ABC
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
标签 "CTF" 是网络安全竞赛的缩写,"流量分析" 指的是对网络数据传输的观察和解析,"mysql" 是一种广泛使用的开源关系型数据库管理系统,而 "MISC" 在CTF赛事中通常代表混合类别问题,可能涵盖多种技术领域。...
CTF 隐写术经典例题讲解
10-22
本资料主要针对CTF中的隐写术实例进行详细讲解,包括图片隐写、流量分析、文件查看与分离以及加密解密等多个方面。 首先,我们来看“图片隐写”。图片是最常见的隐写载体,因为人眼往往难以察觉其中隐藏的信息。...
BUUCTF-MISC-07wireshark1
weixin_49765221的博客
04-24 572
流量包的数据较多,我们无法全部都查看,所以这时候需要借助命令筛选。在对应的数据信息中就可以看到flag。
CTFwireshark数据包分析(初学者必看)
weixin_52620919的博客
07-29 4558
预备知识 TCP/IP TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议。在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接: 【第一次握手】:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认; SYN:同步序列编号(Synchronize Sequence Numbers)。 【第二次握手】:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),
CTF流量分析wireshark使用
最新发布
2401_84466316的博客
05-28 1082
指定URI:http.request.uri==“/img/logo-edu.gif”筛选HTTP请求的URL为/img/logo-edu.gif的流量包。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。arp/icmp/http/ftp/dns/ip 筛选协议为arp/icmp/http/ftp/dns/ip的流量包。tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包。
简单流量分析CTF(wireshark)
热门推荐
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
wireshark网络安全流量分析基础
dexi1113的博客
07-06 857
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
流量隐写与wireshark使用——ctf公开课笔记记录
m0_75196987的博客
04-15 2253
流量隐写&wireshark使用。——来自 长空实验室ctf新兵训练营。不建议广泛传播。
wireshark工具使用(超详细的保姆级教程,ctf小白必会)
qq_68064663的博客
10-14 1724
流量分析工具wireshark,杂项小白手必学,一文搞定基础
四类-IEC104-附件.zip
09-09
研究这些内容可能涉及学习IEC 104协议的结构和报文格式,掌握zip文件的加密机制,理解网络流量分析基本原理,以及学习如何使用工具检测和提取图片中的隐藏信息。这些知识对于网络安全专家、电力系统工程师和数据...
bugkuctf解题-WEB
05-04
在解题过程中,我们还需要掌握一些工具和技巧,例如使用Burp Suite进行代理抓包分析,使用Wireshark捕获网络流量,利用OWASP ZAP自动化扫描漏洞,或者使用sqlmap自动检测SQL注入等。同时,了解常见Web框架(如PHP的...
CTF工具之wireshark(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
001-CTF web题型解题技巧-第一课 解题思路.pdf
07-09
识别和利用Webshell是CTF中常见的任务,需要了解各种Webshell的特征和使用方法。 源码泄漏是另一类常见的题目,特别是在线CTF中。当网站的源码意外暴露,可以通过恢复被删除的文件(如使用vim -r恢复vim的临时备份...
CTFwireshark之文件还原
weixin_52620919的博客
07-30 2613
简介: 本示例主要介绍了wireshark文件还原技术,通过本实验的学习,你能够了解wireshark的使用方法, 能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。 【WiresharkWireshark从功能上来看,只是监听网络流量信息并完整的记录下来,起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。 题目 黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。 无意之中,他发现有人在某个网站上上传了一份
Wireshark例题-CTF
LYJ20010728的博客
05-14 1万+
Wireshark例题-CTF搜索文件提取例题一例题二信息提取 搜索 题目文件:key.pcapng 题目描述:flag被盗,赶紧溯源! 题目题解: ①可以只将这个数据包当做文本文件打开,比如用一些notepad++编辑器,然后直接搜索 ②用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等),然后跟进可疑的数据包,根据数据包特征,很明显看出这是一个菜刀连接一句话木马的数据包,然后往下找,即可看到读取的flag 文件提取 例题一 题目文件:
CTF——杂项3.流量取证技术
woo233的博客
09-09 2764
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
[CTF]wireshark流量分析-flag明文
Luistin的博客
01-11 1130
1.打开文件 ctrl+F搜索分组字节流的字符串:flag{3.右键flag,点击显示出分组字节可复制粘贴。
ctf】whireshark流量分析之ping篇
一大口木的博客
12-16 1080
ctf流量分析之ping篇
ctf练习之wireshark
SDM_JH的博客
07-22 2768
1.用wireshark打开题目所给的pcap文件,在19号SMB数据包中发现password,在16号数据包中发现Encryption Key。 2.下载彩虹表,使用John the Ripple工具破解密码(Linux环境)。构造一个John格式的hash文件命名为password.txt。 它的格式为:user::domain:ANSI_Password:Unicode_Password:Encryption_Key 3.执行如下命令:netntlm.pl --seed “NETLMIS” --
003-CTF web题型解流量分析-第三课 工具使用-流量分析.pdf
07-09
CTF Web题型解流量分析-第三课 工具使用-流量分析》是一份涵盖了Wireshark流量分析工具的使用方法和基本知识介绍的文件。Wireshark是一款流行的网络协议分析工具,它能够捕获和分析网络数据包,帮助用户深入了解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值