流量分析入门(二):wireshark的使用

前言

我们先通过其他up主总结的图片先简单看一下wireshark的使用

工具使用介绍

查看捕获到的数据包列表

以真题为例(蓝桥杯2025年网络安全赛道初赛flowzip)访问链接下载即可

链接: https://pan.baidu.com/s/12yOjftrXEa137ymuHGy3oA?pwd=LRTC 提取码: LRTC

这是流量包的文件格式

复制代码
.pcapng

安装好wireshark后,双击打开这个文件

最上方的一栏是任务栏,下面是搜索框,最下面的是数据包的详细信息和数据包的数据

常用过滤器命令和语法

协议筛选:
复制代码
tcp:显示所有TCP协议的数据包
udp:显示所有UDP协议的数据包
http:显示所有HTTP协议的数据包
dns:显示所有DNS协议的数据包
icmp:显示所有ICMP协议的数据包

在搜索框里输入http就能看到所有的http流量,其他同理

IP地址筛选:
复制代码
ip.addr == 192.168.0.1:显示与指定IP地址相关的所有数据包
src host 192.168.0.1:显示源IP地址为指定地址的数据包
dst host 192.168.0.1:显示目标IP地址为指定地址的数据包

这里我们筛选10.100.200.130ip相关的数据包

复制代码
ip.addr == 10.100.200.130

筛选过后就是都关于这个ip的数据包流量

端口筛选:
复制代码
tcp.port ==  80:显示使用指定TCP端口的数据包
udp.port == 53:显示使用指定UDP端口的数据包
port 80:显示源或目标端口为指定端口的数据包

筛选tcp 80端口的流量

逻辑运算符:
复制代码
and:使用AND逻辑运算符连接多个条件,例如 tcp and ip.addr == 192.168.0.1
or:使用OR逻辑运算符连接多个条件,例如 tcp or udp
not:使用NOT逻辑运算符排除满足条件的数据包,例如 not tcp

筛选http流量和ip地址为10.100.200.130的流量包http and ip.addr == 10.100.200.130

比较运算符:
复制代码
==:等于,例如 http.request.method == "POST"
!=:不等于,例如 ip.addr != 192.168.0.1
<、>:小于、大于,例如 tcp.len > 100

筛选http的get请求流量包http.request.method == "GET"

复杂筛选:
复制代码
使用括号 () 来组合多个条件,例如 (tcp and port 80) or (udp and port 53)
使用复合条件进行筛选,例如 (tcp.flags.syn == 1 or tcp.flags.ack == 1) and ip.addr == 192.168.0.1

本题做法

There are many zip files.

打开过滤HTTP请求,发现有100个压缩包,本来以为需要全部提取后分卷解压:

但是发现直接搜索flag字符串,可以找到flag:

相关推荐
fei_sun11 小时前
开放最短路径优先OSPF----基于链路状态
网络
精明的身影11 小时前
网络计划WebApp求解:融合Python与AI决策的项目管理系统
网络·python·web app
icsocket11 小时前
芯片测试治具关键组成部分和设计考虑:机械结构中的夹具
测试工具
Let's Chat Coding12 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
anbingsoft1212 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑
fei_sun13 小时前
虚拟局域网VLAN
网络
技术不好的崎鸣同学14 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码14 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫
念何架构之路15 小时前
moby-http-api-server
网络·网络协议·http
namexingyun15 小时前
Scaling Law bug实战启示:从“虚胖“到“精瘦“的算力效率革命
开发语言·网络·人工智能·bug·ai编程