CTF流量分析-Wireshark的基本使用

Wireshark 简介

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。— 百度百科

Wireshark基本使用方法

主界面

CTF流量分析-Wireshark的基本使用_第1张图片
CTF流量分析-Wireshark的基本使用_第2张图片
说明
在这里插入图片描述
常用功能按钮从左到右一次是:

  1. 开始新的抓包
  2. 停止抓包
  3. 重新开始抓包
  4. 抓包设置
  5. 打开已保存的抓包文件
  6. 保存抓包文件
  7. 关闭抓包文件
  8. 重新加载抓包文件
  9. 查找分组
  10. 转到前一个分组
  11. 转到后一个分组
  12. 转到特定的分组
  13. 转到第一个分组
  14. 转到最后一个分组
  15. 正在抓包时,自动定位到最新的分组
  16. 分组着色
    CTF流量分析-Wireshark的基本使用_第3张图片
  17. 放大主窗口文字大小
  18. 缩小主窗口文字大小
  19. 重置主窗口文字大小
  20. 重置主窗口界面大小

过滤器的基本使用

  1. 过滤IP,例如源IP和目标IP
ip.src eq x.x.x.x or ip.dst == x.x.x.x 或者 ip.addr eq x.x.x.x

CTF流量分析-Wireshark的基本使用_第4张图片
2. 过滤端口

tcp.port eq 80 or udp.port eq 80 源端口或者目的端口为80
tcp.dstport == 80  只显tcp协议的目标端口为80 
tcp.srcport == 80  只显tcp协议的源端口为80 
tcp.port >= 1 and tcp.port <= 80

CTF流量分析-Wireshark的基本使用_第5张图片
3. 过滤协议

tcp/udp/arp/icmp/http/ftp/dns/ip…… 常用的协议
  1. 过滤MAC地址
eth.src eq b4:ae:2b:31:c5:07
eth.dst eq b4:ae:2b:31:c5:07
eth.addr == b4:ae:2b:31:c5:07

CTF流量分析-Wireshark的基本使用_第6张图片
5. 过滤包长渡

udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和 。
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身 
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后 
frame.len == 119 整个数据包长度,从eth开始到最后

CTF流量分析-Wireshark的基本使用_第7张图片
6. 过滤HTTP

http
http.request.method== "GET" 
http.request.method== "POST" 
http.request.uri =="/img/logo-edu.gif" 
http contains "PNG"

CTF流量分析-Wireshark的基本使用_第8张图片

协议分析

统计下选择协议分级(析),可以查看当前数据包中包含那些协议
在这里插入图片描述
通常我们只关注HTTP以及TCP和UDP协议内容,可以直接右击选择选中状态,比如选中HTTP
CTF流量分析-Wireshark的基本使用_第9张图片
CTF流量分析-Wireshark的基本使用_第10张图片
同样的方法也可以用来选择想要的数据包特征,比如想要筛选HTTP GET 包,右击选择作为过滤器应用->选中
CTF流量分析-Wireshark的基本使用_第11张图片
CTF流量分析-Wireshark的基本使用_第12张图片

数据流跟踪

在关注的http数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。
选中数据分组后,右击选择追踪流->TCP流|HTTP流
CTF流量分析-Wireshark的基本使用_第13张图片
常见的HTTP流关键内容:

1、HTML中直接包含重要信息
2、上传或下载文件内容,通常包含文件名、hash值等关键信息,常用POST请求上传。
3、一句话木马,POST请求,内容包含eval,内容使用base64加密

而TCP流通常是命令行操作
CTF流量分析-Wireshark的基本使用_第14张图片

数据提取

使用wireshark可以自动提取通过http传输的文件内容,方法如下:
文件->导出对象->HTTP
在打开的对象列表中找到有价值的文件,如压缩文件、文本文件、音频文件、图片等,点击save进行保存,或者saveall保存所有对象再进入文件夹进行分析。
CTF流量分析-Wireshark的基本使用_第15张图片
有时候自动提取得不到想要的结果时,也可以使用wireshark也可以手动提取文件内容:

点击想要的数据包,选定media type的位置,点击file->export selected Packet Bytes,在弹出的框中将文件保存成二进制文件。
文件->导出分组字节流
CTF流量分析-Wireshark的基本使用_第16张图片
参考:https://www.freebuf.com/column/153197.html

你可能感兴趣的:(CTF)