快捷键
Ctrl+K,选择需要抓包的网卡 Ctrl+F可以进行关键字搜索 Ctrl+M,标记数据包
Ctrl+Shift+N跳到标记处
查看包有多少协议Protocol Hierarchy(协议分级)
搜了一下TCP协议,是互联网最基本的协议,分为4层,
了解了一下tcp协议,具体请看TCP协议详解 (史上最全)-CSDN博客
谁和谁进行了通信: Conversations
常见报错和解决手法
please turn off promiscuous mode for this device
译⽂:[错误:未能将硬件过滤器设置为混杂模式- 请为此设备关闭混杂模式] 
捕获-选项 -input取消掉
基于协议过滤手法
icmp协议数据包有时流量分析的题目会考到协议本质上去,比如说题目要求flag{报文重定向的数量},分析capture.pcapng数据包文件,这些数据中有非常多的ICMP报文,这报文中有大量的非正常ICMP报文,找出类型为重定向的所有报文,将“报文重定向的数量”作Flag值提交
过滤手法:icmp.type eq 5
知识补充
每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下:· 诊断报文(类型:8,代码0;类型:0代码:0)
· 目的不可达报文(类型:3,代码0-15)
· 重定向报文(类型:5,代码:0 -- 4)
· 超时报文(类型:11,代码:0 -- 1)
· 信息报文(类型:12 -- 18)
我这个文件是没有的,右下角的已显示就是值重定向文件的数量
基于协议的衍生-常用过滤语法
这里我们列举常用的过滤手法,拿HTTP协议为例
http.request.uri == "/img/logo-edu.gif"
上面是一些知识点,下面看例题,好吧,其实主要是那些过滤语法
流量分析1
分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10)得到的所有答案用Yunxi{}包裹后提交。
流量分析2
分析网络流量包检材,抓取该流量包时使用计算机操作系统的build版本是多少?(答案格式:10D32)
如图所示,当时瞎了
流量分析3
分析网络流量包检材,受害者的IP地址是?(答案格式:192.168.1.1)
在数据包的起始位置可发现IP地址192.168.75.132在发送不同length的请求怀疑为攻击方
还看了2024数证被的例题是IP地址192.168.75.132一直在广播探测75.X段主机存活
这里补充广播探测:攻击者通常使用 ARP扫描 或 ICMP Ping扫描 探测局域网内存活的主机。
ARP扫描(如
arp who-has请求)用于发现同一子网内的主机MAC地址。ICMP扫描(如
ping请求)用于确认目标主机是否在线。目标网段:攻击者扫描 192.168.75.X,说明其可能试图发现该网段内的潜在受害者(如服务器、PC、IoT设备等)。
随便点一个包可发现源地址为192.168.75.132,目的地址为192.168.75.131,因此可确认受害者的IP地址是192.168.75.131
流量分析4
分析网络流量包检材,受害者所使用的操作系统是?(小写字母,答案格式:biwu)
直接查看源IP地址为192.168.75.131的HTTP协议的数据包,在HTTP头信息中即可得知受害者所使用的操作系统为ubuntu。
显示操作系统
)
的架构风格)
