针对攻防赛中的大流量如何抽丝拨茧

请先 登录 后评论

2 个回答

hiword

确定攻防队伍IP,筛选掉无用流量包,使用wireshark语法快速定位,例如ip.src== 或 http.contant==""

请先 登录 后评论
awqhc

首先必须熟练掌握wireshark的筛选指令

筛选ip     ip.src == 源ip地址    

               ip.dst == 目的ip地址

协议筛选     tcp  筛选协议为tcp的流量包    

                   udp 筛选协议为udp的流量包

端口筛选     tcp.dstport == 80  筛选tcp协议的目标端口为80的流量包

包长度筛选     tcp.len >=20  筛选长度大于20的tcp流量包

                       frame.len ==20 筛选长度为20的整个流量包

http请求筛选    http.request.method==“GET”        筛选HTTP请求方法为GET的 流量包

                        http.request.uri==“/img/logo-edu.gif”  筛选HTTP请求的URL为/img/logo-edu.gif的流量包

                        http contains “flag”    筛选HTTP内容带有flag的流量包

关于加密流量的话可以去了解一下cisoc开发的一个加密流量数据分析工具joy。

请先 登录 后评论