杂项题的基本解题思路——4、流量取证技术
流量包文件分析
流量包就是說我向你傳遞的時候,把你傳遞過程中的數(shù)據(jù)抓取下來,保存成一個文件
流量取證技術就是說:題目會給你一個流量包,你要在流量包里面找到相應的一些文件(有時候flag值就藏在流量包的某一個位置)
①wirkshark工具
查看自己的電腦有沒有安裝wireshark:win+R——》輸入wireshark看能不能打開
kaliLinux自帶了wireshark
利用wirkshark工具的過濾器功能
常用的過濾命令
1、 過濾IP 如過濾源IP或者目的IP
ip.src eq x.x.x.x 過濾源ip (eq可以寫等于號==)
ip,dst eq x.x.x.x 過濾目的ip
ip.addr eq x.x.x. 過濾某個ip地址
2、 過濾端口
網(wǎng)頁的端口一般是80端口
tcp.port eq 80 udp.port eq 80 過濾tcp或者udp的80端口流量包
tcp.dstport == 80 只顯示tcp協(xié)議的目標端口為80的流量包
tcp.srcport == 80 只顯示tcp協(xié)議的源端口為80的流量包
tcp.port >=1 and tcp.port <=80
3、 過濾協(xié)議
直接輸入
(可以先看http)
4、過濾mac地址
5、包長度過濾
6、http模式過濾★★★★
contain非常好用 類似于一個搜索功能
通常打開一個流量包,先篩選一下有沒有HTTP,如果沒有第二件事就是去看它大致有哪些協(xié)議,看一下它有沒有包含flg、key、提示內(nèi)容。。。。
wireshark協(xié)議分析(分級)
協(xié)議分級:
wireshark流匯聚:
一般是用流匯聚去追蹤tcp或http的流量
②無線流量包破解密碼
③usb流量包文件分析
1 鍵盤流量包抓取分析
下圖中的python腳本可以將usb的leftover capture data數(shù)據(jù)映射為鍵盤數(shù)據(jù)(abc……)
leftover capture data數(shù)據(jù)提取方式1 :導出到excel表中(會自動變成科學計數(shù)法)《——不好用
leftover capture data數(shù)據(jù)提取方式2:利用wireshark提供的命令行鞏固tshark,可以將leftover capture data數(shù)據(jù)單獨復制出來
kali和Windows都可以用
2 usb鼠標流量抓取分析
腳本中倒數(shù)第三行中的flag1表示順序為左,flag2表示右,分析時有時候需要改變左右。
④https流量包文件分析
https=http(協(xié)議)+tls(套階層)
下圖中的key需要通過題目線索得到
本文章從我另外一個博客copy過來:https://www.cnblogs.com/hsp1269/p/13855607.html
總結
以上是生活随笔為你收集整理的杂项题的基本解题思路——4、流量取证技术的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python实现单链表快速排序升序lin
- 下一篇: 国家高性能计算环境的虚拟数据空间运行支撑