2023年7月3日发(作者：)

CTF流量分析-Wireshark的基本使⽤Wireshark 简介Wireshark（前称Ethereal）是⼀个⽹络封包分析软件。⽹络封包分析软件的功能是撷取⽹络封包，并尽可能显⽰出最为详细的⽹络封包资料。Wireshark使⽤WinPCAP作为接⼝，直接与⽹卡进⾏数据报⽂交换。— 百度百科Wireshark基本使⽤⽅法主界⾯说明常⽤功能按钮从左到右⼀次是：1. 开始新的抓包2. 停⽌抓包3. 重新开始抓包4. 抓包设置5. 打开已保存的抓包⽂件6. 保存抓包⽂件7. 关闭抓包⽂件8. 重新加载抓包⽂件9. 查找分组10. 转到前⼀个分组11. 转到后⼀个分组12. 转到特定的分组13. 转到第⼀个分组14. 转到最后⼀个分组15. 正在抓包时，⾃动定位到最新的分组16. 分组着⾊17. 放⼤主窗⼝⽂字⼤⼩18. 缩⼩主窗⼝⽂字⼤⼩19. 重置主窗⼝⽂字⼤⼩20. 重置主窗⼝界⾯⼤⼩过滤器的基本使⽤1. 过滤IP，例如源IP和⽬标 or == 或者 2. 过滤端⼝ eq 80 or eq 80 源端⼝或者⽬的端⼝为t == 80 只显tcp协议的⽬标端⼝为80

t == 80 只显tcp协议的源端⼝为80

>= 1 and <= 803. 过滤协议tcp/udp/arp/icmp/http/ftp/dns/ip…… 常⽤的协议4. 过滤MAC地址 eq b4:ae:2b:31:c5: eq b4:ae:2b:31:c5: == b4:ae:2b:31:c5:075. 过滤包长渡 == 26 这个长度是指udp本⾝固定长度8加上udp下⾯那块数据包之和 。 >= 7 指的是ip数据包(tcp下⾯那块数据),不包括tcp本⾝

== 94 除了以太⽹头固定长度14,其它都算是,即从ip本⾝到最后

== 119 整个数据包长度,从eth开始到最后6. 过滤== "GET"

== "POST"

=="/img/"

http contains "PNG"协议分析在统计下选择协议分级（析），可以查看当前数据包中包含那些协议通常我们只关注HTTP以及TCP和UDP协议内容，可以直接右击选择选中状态，⽐如选中HTTP同样的⽅法也可以⽤来选择想要的数据包特征，⽐如想要筛选HTTP GET 包，右击选择作为过滤器应⽤－>选中数据流跟踪在关注的http数据包或tcp数据包中选择流汇聚，可以将HTTP流或TCP流汇聚或还原成数据，在弹出的框中可以看到数据内容。选中数据分组后，右击选择追踪流->TCP流|HTTP流常见的HTTP流关键内容：1、HTML中直接包含重要信息2、上传或下载⽂件内容，通常包含⽂件名、hash值等关键信息，常⽤POST请求上传。3、⼀句话⽊马，POST请求，内容包含eval，内容使⽤base64加密⽽TCP流通常是命令⾏操作数据提取使⽤wireshark可以⾃动提取通过http传输的⽂件内容，⽅法如下：⽂件->导出对象->HTTP在打开的对象列表中找到有价值的⽂件，如压缩⽂件、⽂本⽂件、⾳频⽂件、图⽚等，点击save进⾏保存，或者saveall保存所有对象再进⼊⽂件夹进⾏分析。有时候⾃动提取得不到想要的结果时，也可以使⽤wireshark也可以⼿动提取⽂件内容：