Day 3 misc

流量分析

WireShark

常用过滤命令：

过滤IP，如源IP或者目标x.x.x.x

ip.src eq x.x.x.x or ip.dst eq x.x.x.x

或者

ip.addr eq x.x.x.x

过滤端口

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围

tcp.port >= 1 and tcp.port <= 80

过滤协议

tcp/udp/arp/icmp/http/smtp/ftp/dns/msnms/ip/ssl......

排除tcp包，如!tcp 或者 not tcp

http模式过滤

http.request.method == “GET”

http.request.method == “POST”

http.request.uri == “/img/logo-edu.gif”

http contains “GET”

http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: “

http.request.method == “GET” && http contains “User-Agent: “

// POST包

http.request.method == “POST” && http contains “Host: “

http.request.method == “POST” && http contains “User-Agent: “

// 响应包

http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “

http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “

一定包含如下

Content-Type:

其他过滤命令参见wireshark过滤规则及使用方法

协议分级

统计 -> 协议分级

根据数据包特征进行筛选：右键->作为过滤器应用 ->选中/非选中

流汇聚

右键 ->追踪流 ->TCP/HTTP流

HTTP流常见关键内容：

1.打开即可看到flag

2.上传/下载文件内容，内容包括文件名、hash值等

3.一句话木马

数据提取

文件->导出对象->HTTP

media type ->右键->导出分组字节流

文件->导出分组字节流

无线wifi流量包

协议分级发现只有wireless LAN协议，很可能是WPA或者WEP加密的无线数据包

aircrack-ng

Linux下用aircrack-ng检查cap包

aircrack-ng xxx.cap -w 字典

USB流量

usb协议通常在lefrover capture date中

略