通常比赛中会提供一个包含流量数据的 PCAP 文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析。
PCAP 这一块作为重点考察方向,复杂的地方在于数据包里充满着大量无关的流量信息,因此如何分类和过滤数据是参赛者需要完成的工作。
概括来讲在比赛中的流量分析有以下三个方向:
1、流量包修复 2、协议分析 3、数据提取
我们首先用一个合天的实验来对流量分析进行初探(wireshark之文件还原)
场景:
黑客通过ARP欺骗,使用wireshark获取了整个局域网内的流量信息,无意之中发现有人在某个网站上上传了一份文件,但是他不知道怎么用wireshark去还原这份文件,所以将监听的数据报保存了一份wireshark监听记录,我们需要对流量包进行分析并还原出目标所上传的图片。
操作流程:
打开数据包发现数据共有148条(算很少了)
但是手动一条一条去审计也很费精力。利用wireshark的显示过滤功能,因为从题目中我们确定,上