Wireshark的学习与使用_line-based text data-程序员宅基地

目录

前言

1.简介和基础

流量分析是什么?

HTTP协议和TCP协议

2.Wireshark 流量分析中的王者

Wireshark是什么

Wireshark基本使用方法

数据包筛选

 数据包搜索

 数据包还原

 数据提取

流量包的修复

3.Web流量包的分析

4.USB流量包的分析

5.ICMP流量包的分析


前言

本篇文章是基于B站视频 CTF MISC杂项流量分析专题培训1 做的学习笔记,如有写得不到位的地方请多多指教~  ∠(°ゝ°)敬礼

1.简介和基础

流量分析是什么?

在CTF中,通常会有一些pcapng或者pcap文件后缀的数据包,不同的数据包有不同的协议,常见的有HTTP, TCP协议,当然CTF中考察的协议很多,我们需要从这类文件中进行分析,获取数据然后最终找到我们的答案flag

HTTP协议和TCP协议

  • HTTP是应用层协议,定义的是传输数据的内容的规范,TCP是传输层,HITP是要基于TCP连接基础上的。简单的说,TCP就是单纯建立连接,不涉及任何我们需要请求的实际数据,简单的传输,HTTP是用来收发数据,即实际应用上来的

从上图中我们可以从wireshark中看出HTTP连接建立的三次握手,我们随便点击一个,可以看到HTTP请求建立过程中对应的链路层,网络层,物理层等相关层的详细信息
 

  • 举个栗子:

打开wireshark,先选中这个波形有起伏的接口

 然后点击左上角那个蓝色的鲨鱼背鳍,开始捕获分组

 这个时候,打开浏览器,随便打开一个网页,即可进行流量抓取啦

在那个绿色框框里面输入tcp,就可以看到如下界面

 

  •  TCP协议的三次握手(了解即可)

 

 

  •  HTTP协议

在绿色栏栏那里输入http,回车即可

 

2.Wireshark 流量分析中的王者

Wireshark是什么


Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

官方下载地址:
https://www.vireshark.org/download.html

Wireshark基本使用方法


wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分

数据包筛选


Wireshark的数据包筛选功能是wireshark的核心功能,比如需要筛选出特定的协议如HTTP, Telnet等,也可能需要筛选出ip地址,端口等,多条规则可以使用&&,||连接

很多的规则~

 例如:我们要筛选ip地址为192.168.0.106(可以随便选)的流量包,只需在搜索栏内输入ip.src==192.168.0.106

 

 #http请求筛选比较常用

例如搜索栏内输入http.request.method=="GET",即可得到GET方法的流量包

 数据包搜索

在wireshark界面按【Ctrl+F】或者点击图标,可以进行关键字搜索

 Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下直接使用字符串方式进行搜索

搜索栏的左边下拉,有分组列表、分组详情、分组字节流三个选项,分别对应wireshark界面的三个部分,搜索时选择不同的选项以指定搜索区域
 

 数据包还原


在wireshark中,存在一个交追踪流的功能,可以将HTTP或TCP流量集合在一起并还原成原始数据,具体操作方式如下:选中想要还原的流量包,右键选中,选择追踪流-TCP流/UPD流/SSL流/HTTP流

 

 数据提取


Wireshark支持提取通过http传输(上传/下载)的文件内容方法如下:
选中http文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,鼠标右键点击–选中导出分组字节流
鼠标右键点击–选中显示分组字节

 可以选择导出到桌面,成功的话(反正我没成功导出),会在桌面看到一个.bin的文件,拖到010editor中,即可看到内容

流量包的修复


比赛过程中有可能会出现通过`wireshark`打开题目给的流量包后提示包异常的情况

通过在线pacp包修复工具进行修复: http://f0Ol.de/hacking/pcapfix.php

打开该网站后选择要修复发流量包,然后滑至页面最低端,下载修复好的流量包,再用wireshark打开即可

后面的暂时不学,等以后慢慢更

3.Web流量包的分析

4.USB流量包的分析

5.ICMP流量包的分析

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59207381/article/details/119384265

智能推荐

[从头学数学] 第233节 定积分的应用_从头学定积分-程序员宅基地

文章浏览阅读610次。剧情提要:[机器小伟]在[工程师阿伟]的陪同下进入了元婴期的修炼。这次要修炼的是数学分析(或称高等数学、或称微积分)。正剧开始:星历2016年06月02日 08:57:28, 银河系厄尔斯星球中华帝国江南行省。[工程师阿伟]正在和[机器小伟]一起研究[定积分的应用]。_从头学定积分

apollo源码启动服务,apollo源码分析_apollo2.3 源码启动-程序员宅基地

文章浏览阅读685次。apollo源码启动服务_apollo2.3 源码启动

mysql 转decimal,在MySql中将VARCHAR转换为DECIMAL值-程序员宅基地

文章浏览阅读1.3k次。I have imported a CSV file that contains string values (eg.eating) and floating values (eg. 0.87) into a table in my phpMyAdmin database. After I get ride of all the string values and retain only the ..._mysql decimal转换varchar

python功能模块之psutil_详解Python3.6安装psutil模块和功能简介-程序员宅基地

文章浏览阅读441次。详解Python3.6安装psutil模块和功能简介来源:中文源码网浏览: 次日期:2018年9月2日【下载文档:详解Python3.6安装psutil模块和功能简介.txt】(友情提示:右键点上行txt文档名->目标另存为)详解Python3.6安装psutil模块和功能简介 一、psutil模块1. psutil是一个跨平台库,能够轻松实现获取..._python3.6 -m test.test_utils_push解释

java处理json数组_用Java处理数组-程序员宅基地

文章浏览阅读1.8k次。java8处理数组If a program needs to work with a number of values of the same data type, you could declare a variable for each number. For example, a program that displays lottery numbers: 如果程序需要使用多个相同数据..._json数组 java

ansible安装遇到的问题,不太懂,望大神指教_nothing provides python(abi) = 3.11 needed by ansi-程序员宅基地

文章浏览阅读3.4k次,点赞3次,收藏4次。安装ansible遇到的问题,望大神指点_nothing provides python(abi) = 3.11 needed by ansible-7.2.0-1.el8.noarch

随便推点

Vue 解析token 方法-程序员宅基地

文章浏览阅读4.5k次。 jwt-decode cnpm jwt-decode install 可以解析出过期时间,名字,id等等import 名字 from 'jwt-decode'const decoded = 名字(token);console.log(decoded)

VMware ESXi 扩容后提示“无法打开虚拟机的电源,请确认该虚拟磁盘是适用“厚”选项创建的”等信息,执行VMDK 格式是 zeroedthick 还是 eagerzeroedthick_请确认该虚拟磁盘是使用“厚”选项创建的-程序员宅基地

文章浏览阅读1.1w次,点赞2次,收藏6次。作为网络攻城狮大家通常架设服务用到最多的无非就是VMware ESX/ESXi了,那我们在部署虚拟化过程中难免会根据负载进行调整扩容优化,这次介绍下在部分硬盘模式中扩容会造成无法开机等事宜,一个个人正式案例进行备录,希望对大家也有所帮助和提示。环境:DellEMC-ESXi-6.7.0-8169922-A01 (Dell)客户机Server:Microsoft Windows Server 2016 (64 位) VBS /ESXi 6.7 及更高版本 (虚拟机版本 14)磁盘/类型:100G/厚置备_请确认该虚拟磁盘是使用“厚”选项创建的

get请求一个html页面,get请求代码-程序员宅基地

文章浏览阅读2.5k次。CSS布局HTML小编今天和大家分享示例代码?想向服务器发送带参数的数据。参数如何传递?传递的方式有以下四种: 第一种:直接在URL后面加参数: localhost:21811/Handler1.ashx?id=1&name="abc"; 第二种:用超链接的方法传递参数:当点击超链接的时候,首先会跳转: localhost:21811/Handler1.ashx页面。关于java web中..._get一个页面

Multsim 电路仿真软件中交流电压表与电流表读数不准确的原因处理_multisim汉化版交流电表读数不准-程序员宅基地

文章浏览阅读1.6w次,点赞44次,收藏38次。Multsim14.2 电路仿真软件中交流电压表与电流表读数不准确的原因处理看图,读数不正确问题原因处理方案修改成以下内容并保存成功处理看图,读数不正确问题原因这是汉化引起的小BUG处理方案修改汉化文件夹中的 PRP.ewstr 大约第80多行左右将交流改为 AC将直流改为 DC修改成以下内容并保存** IDS_MODECMB_TXT_AC=>AC< **..._multisim汉化版交流电表读数不准

ACM比赛中如何加速c++的输入输出?如何使cin速度与scanf速度相当?什么是最快的输入输出方法?_c++用cin怎么和scanf一样快-程序员宅基地

文章浏览阅读1.4w次,点赞25次,收藏73次。在竞赛中,遇到大数据时,往往读文件成了程序运行速度的瓶颈,需要更快的读取方式。相信几乎所有的C++学习者都在cin机器缓慢的速度上栽过跟头,于是从此以后发誓不用cin读数据。还有人说Pascal的read语句的速度是C/C++中scanf比不上的,C++选手只能干着急。难道C++真的低Pascal一等吗?答案是不言而喻的。一个进阶的方法是把数据一下子读进来,然后再转化字符串,这种方法传说中很不错,_c++用cin怎么和scanf一样快

江苏省2018事业单位计算机统考,2018年江苏上半年事业单位统考报名链接-程序员宅基地

文章浏览阅读113次。原标题:2018年江苏上半年事业单位统考报名链接江苏省属事业单位笔试报名已经开始,笔试定于4月21日。为了方便各位考生报名。连云港天翔教育Q群:637640535现汇总江苏省属事业单位报名以及各地市报名链接。其中最早报名的是省属事业单位3月25日,报名最迟的是淮安事业单位,苏州虎丘事业单位报名,4月8日起报名3月25日报名链接2018年江苏省属事业单位笔试报名网址http://222.190.11..._2018上半年江苏计算机事业编