数字取证wireshark流量分析

网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。

可以阅读下文学习一下wireshark基本知识

一文精讲Wireshark的抓包和分析_Junior_C的博客-CSDN博客_对wireshark抓包工具的认识

以下是题目复现 需要环境可私信

1.Networking

此题直接选取一个数据包追踪TCP流 就能看到flag

在追踪流里选择TCP流

成功找到flag

2.key

发现有TCP数据包

通过分析数据包发送的先后顺序 判断出是192.168.228.1先发送的请求 192.168.228.135响应了请求

在过滤器中输入 ip.src==192.168.228.135 and http

过滤 ip.src==192.168.228.135 and http (ip.src表示源地址)

此过滤可以筛选出来自192.168.228.135的http响应包

发现有200 OK的回显页面 还附带了text/html的界面 直接追踪TCP流

发现flag

3.Telnet_Cmd

题目描述：

打开数据包

看到了TCP三次握手的过程 分析一下 是10.0.0.101率先发起请求的 所以它应该是黑客

过滤 ip.src==10.0.0.101 and telnet（看一下用黑客telnet发送了些什么）

有好多数据包 直接选一个追踪TCP流

在文件最末尾处找到flag

4.first_contact

题目描述：

打开数据包

看到了TCP三次握手 确定128.238.118.96是机器人 107.22.208.224是坠毁的船舶

既然要知道坠毁的位置 肯定是需要找到船舶发出来的数据包 数据包里面才会存储信息

所以过滤的源ip应该是船舶的ip

过滤 ip.addr==107.22.208.224

选取一个数据包追踪TCP流

成功找到船舶坐标

5.SecretFile

题目描述：

打开数据包

根据TCP三次握手分析出黑客IP为10.0.0.115

过滤ip.src==10.0.0.115 （查看并进一步分析黑客具体活动）

看到三个有200 OK回显的http数据包

点击显示分组字节 逐一打开查看 操作如下

在第三个数据包中看到可疑的数据

将数据显示形式改为原始数据

50 4b 03 04 这是zip文件的文件头格式 点击下方的save as 将这串数值以zip文件格式保存

保存之后 解压并打开

发现需要密码 再回头去数据包中寻找密码

追踪TCP流后 发现解压密码

密码是123@pass

成功找到flag

6.邮件涉密分析

题目描述：

打开数据包

因为是邮件传输 涉及到SMTP邮件传输协议 直接过滤smtp进行查看

追踪TCP流

发现了邮件发送时传输的文件 名称是p(1).pdf

发现发送者是3@3.3.134 接收者是3@1128.com

更改源ip发送者

将这些数据另存为eml格式的邮件文件

保存后打开

成功找到了泄密文件的内容

7.smtp_attachment

题目描述：

打开数据包

同样的 先过滤smtp

追踪TCP流

通过分析 确定是10.0.0.101将文件泄密给了10.0.0.106

筛选一下

保存为eml文件

保存后打开

里面有个压缩包 解压一下

成功得到key

8.online_game

题目描述：

打开数据包

大致看了一下 有ARP TCP等协议 结合题目需要找出网站的账号和密码

首先就想到了过滤http协议 但仅仅过滤http并不太够

要输入账号密码 就意味着有传参 传参有GET和POST

在网站上登录 要将账号和密码发送至网站服务器进行验证 所以是POST传参

过滤 http.request.method=="POST"

看到有一个login的数据包 追踪http流

在最末尾发现了登录的账号和密码

成功找到账号和密码