CTF杂项小结--沙窝李的王

1.流量分析
主要工具是wireshark，需要熟练掌握使用方法，过滤器语法、追踪流、导出文件
wireshark：
Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。

顶栏选项功能：

“File"（文件）打开或保存捕获的信息 。“Edit” （编辑）查找或标记封包。进行全局设置。
“View”（查看）设置Wireshark的视图。 “Go” （转到）跳转到捕获的数据。
“Capture”（捕获）设置捕捉过滤器并开始捕捉。“Analyze”（分析）设置分析选项。
“Statistics” （统计）查看Wireshark的统计信息。“Help” （帮助）查看本地或者在线支持。
3、过滤器
使用Wireshark时最常见的问题，是当使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。在Capture（捕获） -> Capture Filters （捕获过滤器）中设置。
显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
4、过滤表达式的规则
(1)协议过滤
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
比如TCP，只显示TCP协议；
(2)IP过滤
比如：
ip.src 192.168.1.102,显示源地址为192.168.1.102；
ip.dst192.168.1.102, 显示目标地址为192.168.1.102；
ip.addr == 192.168.1.102,包括源地址和目标地址。
（3）端口过滤
tcp.port == 80,显示端口为80的；
tcp.srcport == 80,只显示TCP协议的来源端口为80的；
tcp.dstport == 80,只显示TCP协议的目的端口为80的；
tcp.port >= 1 and tcp.port <= 80，显示TCP协议1-80之间的端口。
(4)过滤包长度
整个UDP数据包：udp.length==20；
TCP数据包中的IP数据包：tcp.len>=20
4、逻辑运算符为and/or
常用的过滤表达式
2.文件格式分析

常见文件头和文件尾的16进制编码：
JPEG (jpg) 文件头&#