1.流量包文件分析
流量包就是说所谓的传递过程中,将传递的数据抓取下来,保存成一个文件。
2.wireshark常用的过滤命令
1)ip.src eq x.x.x.x 过滤源ip
ip,dst eq x.x.x.x 过滤目的ip
ip.addr eq x.x.x.x 过滤某个ip地址
2)过滤端口
网页的端口
tcp.port eq 80 udp.port eq 80 过滤tcp或者udp的80端口流量包
tcp.dstport == 80 只显示tcp协议的目标端口为80的流量包
tcp.srccport == 80 只显示tcp协议的源端口为80的流量包
tcp.port >=1 and tcp.port <=80
3)过滤mac地址
eth.dst == A0:00:00:04:C5:84过滤目标mac
4)包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和。
tcp.len >= 7 指的是ip数据包tcp下面那块数据不包括tp本身。
ip.len == 94除了以太网固定长度14,其他都是ip.len,即从ip本身到最后。
frame.len == 119 整个数据包长度,从eth开始到最后。
5)http模式过滤
http.request.method == “POST” 过滤post请求
http.request.uri == “/img/logo-edu.gif”
http contains "GET"是否包含get字段
http contains “HTTP/1.”
http.request.method == “GET” && http
http contains “flag”
http contains “key”
http contains “flag”
通常打开一个流量包,先筛选一下有没有http。如果没有那麽第二件事情就是去看大致协议,看一些有没有包含flag,key 提示内容。
Wireshark 协议分析(分级)
统计中的,协议分级。
wireshark 流汇聚
一般是用流汇聚去追踪tccp或http的流量。
右键追踪流。
2)文件->导出对象->选择什么对象。
3)数据提取
点击想要的数据包,如下图选定media type的位置
右键->到处分组字节流->或者点击菜单栏文件->导出分组字节流,快捷方式ctrl+H。在弹出的框中将文件保存成二进制文件。
无线流量包破解密码
1.用aircrack-ng 检查cap包:aircrack-ng xxx.cap
2.用aircrack-ng 跑字典进行握手包破解:aircrack-ng xxx.cap -w pass.txt
三.udb流量包文件分析
键盘数据包的数据长度为8个字节,击键信息就集中在第三个字节。每次key stroke都会产生一个keyboard event usb packet
usb键盘流量分析看链接链接
USB鼠标流量抓取分析:
鼠标数据包的数据长度为4个字节。第一个字节代表按键,0x00代表没有按键,0x01为左键,0x02为右键。第二个字节代表左右偏移,数值为正时,代表右移多少像素,数值为负时,代表左移多少像素。第三个字节表示上下偏移。
四.https流量包文件分析
https=http(协议) + tls(套阶层)
key通过线索得到后。
编辑->首选项->Protools->SSL->Edit RSA keys list
导入key后出现原始的HTTP流量
右键->追踪流->ssl流/HTTP流
流量取证技术
最新推荐文章于 2024-06-03 10:47:21 发布