CTF杂项小结--沙窝李的王

1.流量分析
主要工具是wireshark,需要熟练掌握使用方法,过滤器语法、追踪流、导出文件
wireshark:
Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

在这里插入图片描述顶栏选项功能:

“File"(文件)打开或保存捕获的信息 。“Edit” (编辑)查找或标记封包。进行全局设置。
“View”(查看)设置Wireshark的视图。 “Go” (转到)跳转到捕获的数据。
“Capture”(捕获)设置捕捉过滤器并开始捕捉。“Analyze”(分析)设置分析选项。
“Statistics” (统计)查看Wireshark的统计信息。“Help” (帮助)查看本地或者在线支持。
3、过滤器
使用Wireshark时最常见的问题,是当使用默认设置时,会得到大量冗余信息,以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture(捕获) -> Capture Filters (捕获过滤器)中设置。
显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
4、过滤表达式的规则
(1)协议过滤
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
比如TCP,只显示TCP协议;
(2)IP过滤
比如:
ip.src 192.168.1.102,显示源地址为192.168.1.102;
ip.dst
192.168.1.102, 显示目标地址为192.168.1.102;
ip.addr == 192.168.1.102,包括源地址和目标地址。

(3)端口过滤
tcp.port == 80,显示端口为80的;
tcp.srcport == 80,只显示TCP协议的来源端口为80的;
tcp.dstport == 80,只显示TCP协议的目的端口为80的;
tcp.port >= 1 and tcp.port <= 80,显示TCP协议1-80之间的端口。
(4)过滤包长度
整个UDP数据包:udp.length==20;
TCP数据包中的IP数据包:tcp.len>=20
4、逻辑运算符为and/or
常用的过滤表达式
CTF杂项小结--沙窝李的王_第1张图片2.文件格式分析

常见文件头和文件尾的16进制编码:
JPEG (jpg) 文件头&#

你可能感兴趣的:(CTF杂项小结--沙窝李的王)