流量分析入门

前言

个人一直对CTF比赛中MISC中流量分析这一块感兴趣…但好像之前参加的培训没有涉及到。正好看到了一些相关书籍资料，自己向前辈们学习以后整理一些资料来总结一下（本人是个很菜…还没入门的pwn手）

互联网五层模型

在计算机网络这门课中介绍了OSI模型及互联网五层模型：
在我们使用抓包软件进行流量分析的时候，抓到的包往往含有数据链路层、网络层、传输层，应用层四个部分，其中一部分在传递到不同层面的时候会被丢弃。我们的wireshark抓的包工作在数据链路层，而burpsuite抓的http包则工作在应用层

物理层

比如两台计算机直接相连（或者多台计算器用hub（集线器）连接）发挥作用就是物理层（线嘛）一台计算机通过网线发送，另一台或者几台就接收了

但是不够安全，可能会有信号冲突
所以平时我们一般将物理层的信号，调制成以太网格式，就可以在本地局域网中传输。局域网间就连接成互联网

数据链路层

用switch（交换机）相连的时候，采用的就是数据链路层上的协议，每一台计算机有对应的mac地址，当一个计算机要发送信息时，需要在以太帧头中指明发送方和接受方的地址，switch会在接受信号后根据地址转发至一个端口，就避免了信号冲突

网络层

当网络大，且复杂，且mac地址跟硬件绑定，如果更换设备又要重新配置网络，所以我们就要用到IP地址网络协议，IP地址和MAC地址通过ARP转换，路由器让计算机之间可以跨网段访问比如192.168.0.0和192.168.1.0，网关则是连接网段的接口，如192.168.0.1、192.168.1.1。一般会先检查是不是在本网段的IP，如果不是本网段，想要跨网段通信，先要发给路由器上面的网关，然后路由器再跟着IP地址转发
但事实上我们路由器集成了很多功能。。比如把有线转无线，还集成了hub，switch。。网关等等（有能力有时间了一定要拆一个hhh）

传输层

TCP

网络层完成了IP地址的传送，但是我们要确保数据传输的可靠性。TCP就是通过三次握手确保畅通，通过端口区分连接
如图，这里SYN表示请求一个连接，SYN，ACK表示已经收到请求连接，详情看TCP的三次握手，四次挥手

UDP

如图，QQ使用的应用层协议是OICQ，OICQ使用的传输层协议是UDP.

应用层

http请求等

wireshark的用法

基本用法

打开wireshark，可以看到

这是我们的一些接口，我现在用的是Wifi，现在看到我们wifi对应的就是wlan接口，而且我还装了一些虚拟机，这些就是虚拟机接口，当然也是虚拟的
USBcap就是USB的接口
访问一个网页
我们可以打开过滤器，搜索http这样就可以展示使用这个协议的一些

我们访问了一个网站，根据上述方法可以找到这个网站的request请求，我们request请求后，这个网站的服务器会返回一个response包
response in frame意思是在985帧返回response，我们打开
看到了这些信息，我们打开访问的网站F12
我们看到这些信息，和我们返回包上的值差不多，说明我们成功抓包了
在过滤器输入以下指令：

我们在这个网站上，刷新一次，就会多出来一个帧

同样含有index.html我们发现在这个上面刷新不了
而且发现，前一个在URL栏显示不安全，这个不刷新的上面是一个锁
因为上锁的这个采用的是https协议，前一个是http协议，https协议是一种加密的协议，请求网站的路径，内容都看不到
如图，输入ssl我们可以看到如下，https我们可以理解为http+ssl/tls层，ssl/tls的强加密

导出

可以停止后，导出
也可以右键，追踪流，选择TCP，然后选择原始数据
保存后用010editor打开

题目

据前辈介绍，一半是把flag藏在数据包里面。在流量包里找

上课认真听了吗？

题目提示，是三种不同的流量
在最下面。。。我找了半天。。254，我们再找其他的
找tcp contains“flag”
是26
找http contains“flag”找不到？？？点击左上角放大镜，点字符串搜索flag{加个大括号试试
是340
经组合，flag是flag{25434026}
也可以用默认端口查
比如tcp.port==80
也可以追踪流里面用flag去查

我是间谍

发现题目是一个exe文件，这可能是一个恶意文件，然后我们运行时会向别的IP发送数据
在虚拟机中运行（注意给的病毒啥的最好在虚拟机里运行），然后看是一个helloworld的程序

打开wireshark进行分析，搜索字符串flag{
得到flag：

结语

这是一篇偏向入门的流量分析总结，后续随着做题肯定还会继续更深入地写，感谢各位前辈们的指点！