• 苏煜程
  • 031803108

一、实验目的

  • 掌握Wireshark的使用、能够使用Wireshark进行简单的协议分析
  • 熟练定义Wireshark过滤器,以便从数据包中找到所需要的信息

二、实验原理

Wireshark是一款图形界面的网络嗅探器,支持多种平台,作为开源项目经过众多开发者的完善,Wireshark已经成为使用量最大的网络安全工具之一

利用Wireshark分析数据包,基本流程包括:数据包筛选、数据包搜索、数据包还原、数据提取四个部分

数据包筛选功能是wireshark的核心功能,例如可以根据IP地址、MAC地址、端口等特定值筛选数据包,例如输入命令ip.dst==202.106.3.25,可以按筛选出目的IP为202.106.3.25的数据包。也可以按特定协议如HTTP,Telnet等筛选数据包,例如:

  • 指定筛选HTTP请求方法为GET的流量包:http.request.method== “GET”
  • 指定筛选HTTP请求方法为POST的流量包:http.request.method==“POST”
  • HTTP请求或响应中包含特定内容:http contains “FLAG” ,筛选HTTP内容中包含FLAG的流量包
  • http.request.uri==“/img/logo-edu.gif” 则会筛选HTTP请求的URL为/img/logo-edu.gif的流量包

Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索,通常情况下可以直接在wireshark界面按“Ctrl+F”,使用字符串方式进行关键字搜索。搜索栏提供分组列表、分组详情和分组字节流三个选项,允许选择不同选项进一步在对数据包内容进行搜索

数据包还原:wireshark具有追踪数据流功能,可以将HTTP或TCP 流量集合并还原成原始数据,例如选择想要还原的数据包,右键菜单选择“追踪流”→TCP流/UDP流/SSL流/HTTP流,可以在弹出窗口看到被还原的流量信息

Wireshark支持提取通过HTTP传输(上传/下载)的文件内容,方法如下:

选中HTTP文件传输流量包,在分组详情中找到data或者Line-based text data:text/html层,右键菜单选择导出分组字节流,最后点击Save as按钮导出文件

因此在实际应用中,可以先利用:协议 contains “key”形式的过滤规则,过滤出包含字符串key的指定协议数据包,之后再对这些数据包右键菜单选择“追踪流”;追踪流量需要耐心分析,尤其注意寻找可能隐藏键信息的文件,如:HTML文件、压缩文件、脚本文件、文本文件、图片文件等,根据需要导出文件内容进行分析。更多wireshark使用方法,参见参考链接以及wireshark官方用户指南 https://www.wireshark.org/docs/wsug_html_chunked/

三、实验题目

分析流量,获取格式为:flag_hctf{xxxxxxx}的字符串

提示:追踪TCP流,找到python脚本,阅读、修改并执行该脚本以获取flag

四、实验环境

  • Windows 7系统或以上、连接Internet的主机
  • 需要使用的工具:wireshark
  • 参考链接:

五、实验步骤及结果

搜索和flag有关的页面

gb28181 PS流wireshark抓包 抓包分析流量_linux

另存网页打开

gb28181 PS流wireshark抓包 抓包分析流量_安全_02

解析md5码

gb28181 PS流wireshark抓包 抓包分析流量_python_03

获得一串网址打开

扫码获得

gb28181 PS流wireshark抓包 抓包分析流量_java_04