流量分析简介
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
在CTF比赛中,以及各种技能大赛对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。
pcap流量包的分析通常都是通过图形化的网络嗅探器-wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。
关于wireshark,想了解更多的,可以参考
网络分析工具——WireShark的使用(超详细)-CSDN博客
流量分析-Wireshark -操作手册(不能说最全,只能说更全)_wireshark寻找扫描器-CSDN博客
例题:
CTFHub Misc 流量分析
数据库类流量
MySQL流量
解题:
打开Wireshark,选择附件,打开(或将附件直接拖动到Wireshark中),然后ctrl+f,选择分组字节流,宽窄,选择字符串(如图)然后输入ctfhub查找,发现flag.
Redis流量
解题:
与上题一样,打开Wireshark,选择附件,打开(或将附件直接拖动到Wireshark中),然后ctrl+f,选择分组字节流,宽窄,选择字符串(如图)然后输入ctfhub查找,很快就能发现flag.
但是,不一样的是,这题的flag被分成了多个部分,需要找全!
打开第一个,发现一半
改查flag关键字
找到另一半
得flag: ctfhub{6051d6123de43dfad7609804925c0121}
MongoDB流量
解题:
与上两题一样,打开Wireshark,选择附件,打开(或将附件直接拖动到Wireshark中)
使用在线工具,将ctfhub{转换为十六进制数值
在wireshark中搜索该十六进制关键字
得flag: ctfhub{5f284ecc279d2cbd1af258bb53c7a5f6}
协议流量分析 ICMP
Data
解题:
打开Wireshark,选择附件,打开(或将附件直接拖动到Wireshark中),然后ctrl+f,选择显示过滤器,过滤icmp,得
发现有括号猜测只是flag的一半,继续找
根据题目提示
找到每一条ICMP流的长度
拼接而成得
9911610210411798123979998545357102485051125
转换为ASCII码值,即可得到flag:ctfhub{c87eb99796406ac0b}
