2018年山东赛题.数据分析与取证 解题思路和答案

前言

2018年山东省网络空间安全职业院校技能大赛赛题-数据分析与取证-解题思路

题目&分析

1. 使用 Wireshark 查看并分析 WindowsXP 桌面下的 attack.pcapng 数据包文件，通过分析数据包 attack.pcapng 找出黑客的 IP 地址，并将黑客的 IP 地址作为 FLAG（形式：[IP 地址]）提交；
Flag：

[172.16.1.102]

解题思路：这题比较难 下一题

2.继续查看数据包文件 attack.pacapng，分析出黑客扫描了哪些端口，并将全部的端口作为 FLAG（形式：[端口名 1，端口名 2，端口名 3…，端口名 n]）从低到高提交；
Flag：

[21,23,80,445,3389,5007]

解题思路：
得知黑客 IP 地址后，在 wireshark 中筛选 172.16.1.102 到达 172.1.101 的全部数据包，并假定黑客使用 SYN 扫描
过滤龟则：ip.src==172.16.1.102 and ip.dst ==172.16.1.101 然后看 SYN 包