数字取证wireshark流量分析

已于 2022-10-31 09:15:36 修改
阅读量2.3k 收藏 32
点赞数 11
分类专栏: 流量取证 文章标签: 网络 网络安全 网络协议 tcp/ip http
于 2022-10-20 17:23:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291229/article/details/127431284
版权

目录

1.Networking

2.key

3.Telnet_Cmd

4.first_contact

5.SecretFile

6.邮件涉密分析

7.smtp_attachment

8.online_game

网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

可以阅读下文学习一下wireshark基本知识

一文精讲Wireshark的抓包和分析_Junior_C的博客-CSDN博客_对wireshark抓包工具的认识

以下是题目复现  需要环境可私信

1.Networking

此题直接选取一个数据包追踪TCP流 就能看到flag

在追踪流里选择TCP流

 成功找到flag

2.key

发现有TCP数据包

通过分析数据包发送的先后顺序 判断出是192.168.228.1先发送的请求 192.168.228.135响应了请求

在过滤器中输入 ip.src==192.168.228.135 and http

 过滤 ip.src==192.168.228.135 and http (ip.src表示源地址)

此过滤可以筛选出来自192.168.228.135的http响应包

发现有200 OK的回显页面 还附带了text/html的界面 直接追踪TCP流

 发现flag

3.Telnet_Cmd

题目描述:

 打开数据包

看到了TCP三次握手的过程 分析一下 是10.0.0.101率先发起请求的 所以它应该是黑客

过滤 ip.src==10.0.0.101 and telnet(看一下用黑客telnet发送了些什么)

 有好多数据包 直接选一个追踪TCP流

 在文件最末尾处找到flag

4.first_contact

题目描述:

打开数据包

看到了TCP三次握手 确定128.238.118.96是机器人 107.22.208.224是坠毁的船舶

既然要知道坠毁的位置 肯定是需要找到船舶发出来的数据包 数据包里面才会存储信息

所以过滤的源ip应该是船舶的ip

过滤 ip.addr==107.22.208.224

选取一个数据包追踪TCP流

成功找到船舶坐标

5.SecretFile

题目描述:

打开数据包

根据TCP三次握手分析出黑客IP为10.0.0.115

过滤ip.src==10.0.0.115 (查看并进一步分析黑客具体活动)

看到三个有200 OK回显的http数据包

点击显示分组字节 逐一打开查看 操作如下

在第三个数据包中看到可疑的数据

将数据显示形式改为原始数据

50 4b 03 04 这是zip文件的文件头格式 点击下方的save as 将这串数值以zip文件格式保存

保存之后 解压并打开

发现需要密码 再回头去数据包中寻找密码

追踪TCP流后 发现解压密码

密码是123@pass

 成功找到flag

6.邮件涉密分析

题目描述:

打开数据包

因为是邮件传输 涉及到SMTP邮件传输协议 直接过滤smtp进行查看

追踪TCP流

发现了邮件发送时传输的文件 名称是p(1).pdf

发现发送者是3@3.3.134 接收者是3@1128.com

更改源ip发送者

将这些数据另存为eml格式的邮件文件

保存后打开

 成功找到了泄密文件的内容

7.smtp_attachment

题目描述:

打开数据包

同样的 先过滤smtp

追踪TCP流

通过分析 确定是10.0.0.101将文件泄密给了10.0.0.106

筛选一下

保存为eml文件

保存后打开

里面有个压缩包 解压一下

成功得到key

8.online_game

题目描述:

 打开数据包

大致看了一下 有ARP TCP等协议 结合题目需要找出网站的账号和密码

首先就想到了过滤http协议 但仅仅过滤http并不太够

要输入账号密码 就意味着有传参 传参有GET和POST

在网站上登录 要将账号和密码发送至网站服务器进行验证 所以是POST传参

过滤 http.request.method=="POST"

 看到有一个login的数据包 追踪http流

在最末尾发现了登录的账号和密码

 成功找到账号和密码

tzyyyyyy
关注
  • 11
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
【电子取证Wireshark教程:从流量包中导出文件
longxintec的博客
06-04 1489
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
wireshark流量分析网络安全
夜思红尘的博客
04-18 3253
这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!
流量分析-Wireshark
最新发布
2401_85028883的博客
06-19 931
工具栏主工具栏包含多个用于数据包嗅探和处理的菜单和快捷方式,包括过滤、排序、汇总、导出和合并。显示过滤栏主要查询和过滤部分。最近的文件最近调查的文件列表。您可以通过双击调用列出的文件。捕获过滤器和接口捕获过滤器和可用的嗅探点(网络接口)。网络接口是计算机和网络之间的连接点。软件连接(例如 lo、eth0 和 ens33)启用网络硬件。状态栏工具状态、配置文件和数字数据包信息。数据包列表面板每个数据包的摘要(源地址和目标地址、协议和数据包信息)。您可以单击列表以选择一个数据包以进行进一步调查。
流量分析工具wireshark-学习笔记
weixin_49349476的博客
06-26 4451
Wireshark是一种开源网络分析工具,能够捕获不同类型的流量,根据流量追踪数据包,可以帮助分析网络的状态,是否使用什么协议,是否存在攻击
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 6811
通过Wireshark,我们可以捕获和分析网络数据包,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析,包括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据包进行分析,帮助我们更快地定位问题所在。除了基本的数据包捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
Wireshark流量分析
LYJ20010728的博客
05-14 1万+
Wireshark流量分析开始抓包wireshark过滤器表达式wireshark着色规则数据流的追踪数据包的统计分析数据包的大致结构网络分析只抓包头 开始抓包 打开wireshark后,按ctrl+K,勾选需要抓包的网卡 点击Start开始抓包 wireshark过滤器表达式 协议过滤 TCP:只显示TCP协议的数据流 HTTP:只显示HTTP协议的数据流 ICMP:只显示ICMP协议的数据流 ARP:只显示ARP协议的数据流 DNS:显示DNS协议的数据流 IP过滤 ip.addr =
wireshark流量分析
FisrtBqy的博客
03-31 1326
流量分析wireshark使用
wireshark网络安全流量分析基础
xv66666的博客
07-04 620
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
wireshark数据包分析取证web—流量分析
m0_74025111的博客
11-10 781
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发出了大量请求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}
wirehark数据分析取证flag.pcap
热门推荐
Aluxian_的博客
04-18 1万+
什么是wireshark?wiresharekflag.pcap数据包数据包下载 请私信博主 wiresharek Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 wireshark的介绍: 假设您是一名网络安全工程师,需要对某公司的公司进行数据分析分析黑客获取电脑权限进行的操作,我们本章主要以分析案例数据包进行分析关键数据。 flag.p
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据包。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据包选择追踪流 点开就得到了fla...
流量分析学习(wireshark)
qq_61412565的博客
09-05 571
wireshark中,数据包:帧 包 段数据帧的起始和目的点都是链路层数据包则是网络层段则为传输层接下来是wireshark的界面第一个frame起是物理层,数据帧 第二数据链路层,以太网帧的头部信息,第三是网络IP包的头部信息,第四传输层数据段的头部信息,第五是应用层的信息红框处第一第二是目标的MAC地址和源MAC地址,前三个如94 de 80,代表了厂家名称,软件给自动识别出来名字了。
Wireshark之攻击流量分析
qq_52486507的博客
03-10 3370
7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag值(形式:[文件内容])提交。5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag。3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么,并将该文件名作为Flag值。4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag值。所以Flag的值:Flag:[flag.zip]
WiresharkWireshark流量分析
A1_3_9_7的博客
01-12 1305
Wireshark流量分析
流量分析wireshark的使用
cc777777777的博客
04-07 4144
流量分析wireshark的使用
Wireshark网络分析取证:2021深度解析
"WireShark网络取证分析2021.pptx" Wireshark,原名Ethereal,是一款全球广泛使用的网络协议分析器,主要用于深入洞察网络上的活动,帮助网络管理员解决网络问题,网络安全工程师检测安全隐患,开发人员和测试人员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tzyyyyyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值