首先必须熟练掌握wireshark的筛选指令
筛选ip ip.src == 源ip地址
ip.dst == 目的ip地址
协议筛选 tcp 筛选协议为tcp的流量包
udp 筛选协议为udp的流量包
端口筛选 tcp.dstport == 80 筛选tcp协议的目标端口为80的流量包
包长度筛选 tcp.len >=20 筛选长度大于20的tcp流量包
frame.len ==20 筛选长度为20的整个流量包
http请求筛选 http.request.method==“GET” 筛选HTTP请求方法为GET的 流量包
http.request.uri==“/img/logo-edu.gif” 筛选HTTP请求的URL为/img/logo-edu.gif的流量包
http contains “flag” 筛选HTTP内容带有flag的流量包
关于加密流量的话可以去了解一下cisoc开发的一个加密流量数据分析工具joy。
