Wireshark教程和3个实例

10Wireshark教程一、界面二、生疏数据包网络的7层次构造：物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况：MACMAC地址：是网卡的物理地址33组是厂家对网卡的编号IP地址是我们定义的，可以任凭更改ARP协议就是用来对二者进展转换的IP包头部信息其它内容三、过滤器设置过滤器的区分捕获过滤器：用于打算将什么样的信息记录在捕获结果中。需要在开头捕获前设置。显示过滤器：在捕获结果中进展具体查找。他们可以在得到捕获结果后随便修改。那么我应当使用哪一种过滤器呢？两种过滤器的目的是不同的。捕获过滤器是数据经过的第一层过滤器，它用于掌握捕获数据的数量，以避开产生过大的日志文件。显示过滤器是一种更为强大〔简单〕的过滤器。它允许您在日志文件中快速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。显示过滤器snmp||dns||icmp //显示SNMP或DNS或ICMP封包。ip.addr== //显示来源或目的IP地址为的封包。ip.src==02 //显示来源是02的数据包ip.src!=orip.dst!= //显示来源不为或者目的不为的封包。ip.src!=andip.dst!= //显示来源不为并且目的IP不为的封包。tcp.port==25 //显示来源或目的TCP端口号为25的封包。tcp.dstport==25 //TCP25的封包。tcp.flags //TCP标志的封包。tcp.flags.syn==0x02 //TCPSYN标志的封包。红色红色绿色背景表示语法正确，但是可能没有结果。1、使用字段名来过滤在过滤器中输入：.request.method==”GET” ，将显示使用GET方法猎取数据的全部包2、显示一个地址范围的数据3、使用比较运算符4、使用端口过滤器5IP地址过滤留意是两个等于符号6IP的数据将过滤条件改为 .request.method==”POST”&&contains”flag”过滤一下数据分析与取证-attack使用Wireshark查看并分析WindowsXP桌面下的attack.pcapng数据包文件，通过分析数据包attack.pcapng找出黑客的IP地址，并将黑客的IP地址作为FLAG〔形式：[IP地址]〕提交；答案：[02]POSTQ.php的文件，内容是一句话木马，所以其source就是黑客地址POST的包。在过滤器中输入：.request.method==”POST”ip.src==02连续查看数据包文件attack.pacapng，分析出黑客扫描了哪些端口FLAG〔形式：[端口名1，端口名2，端口名3n]〕从低到高提交；解题思路：一般的扫描行为，是以ARP播送包的方式去探测网络中有哪些主机是处于开机状态。扫描行为是扫描一个IP地址，因此就会向该网段中全部的IPARP播送包，包括没有主机使用的IP地址。当检测到某一个IP所对应的主机是开机状态后，就会进一步对该主机进展端口探测，以获知该主机哪些端口是开放的，哪些端口有漏洞存在。sourceTCP的包：ip.src==02andtcp参考答案：21,23,80,445,3389,5007端口解析：21FTP〔文件传输〕协议代理效劳器常用端口号；23Telnet〔远程登录〕协议代理效劳器常用端口号80是扫瞄器网页使用的端口。协议代理效劳器常用端口号：80/8080/3128/8081/9098WIN20233389。445端口是使用共享文件夹的端口Microsoft-DS5007wsmssl：wsm(web-basedsystemmanager)web的系统治理程序,它是一个客户-效劳器方式的图形化程序.它的图形界面可以使用户治理本地系统和远程系统连续查看数据包文件attack.pacapng分析出黑客最终获得的用户名是什么，并将用户名作为FLAG〔形式：[用户名]〕提交；解题思路：可使用过滤器：ip.src==02and 找到login.php，这是黑客登录时使用的页面。或者使用过滤器：contains“username“andip.addr=02参考答案：Lancelot连续查看数据包文件attack.pacapng分析出黑客最终获得的密码FLAG〔形式：[密码]〕提交；参考答案：12369874连续查看数据包文件attack.pacapng〔式：[一句话密码]〕提交；wireshark的数据包，找到一个比较可疑的访问,如图~~~(Q.php有很大可疑是木马,双击翻开数据包一探到底)1IP就是02。。。可使用过滤器：ip.src==02and疑问：会不会是答案：[alpha]疑问：会不会是此题的另一种解法：直接用记事本翻开数据包文件，查找POST。连续查看数据包文件attack.pacapng分析出黑客下载了什么文件，并将文件名及后缀作为FLAG〔形式：[文件名.后缀名]〕提交；53POST类型的数据包一个一个翻开看看翻开其次个数据包，觉察有一个flag.zip的文件,那么到底是不是这个文件呢,连续看下一个数据包翻开第三个数据包,可以看出,flag.zip。。PKZIP文件的头部应当没记错答案：flag.zip连续查看数据包文件attack.pacapng提取出黑客下载的文件FLAG〔文件内容]〕提交；winhex。。或者binwalk进展分别flag.txt，将内容提交下载的文件，流向应当是从效劳器到黑客的ip地址。ip.src==01andip.dst==02and答案：flag{Mannersmakethman}学问点：查看下载的文件中是否包含其他文件的时候一般都需要kali里面的一个工具binwalk-eattack.pacapng直接执行“binwalk所要查看的文件的路径“binwalk-e文件路径〔与原文件在同一名目下〕Wireshark数据包分析-capture3〔100分〕WiresharkPYsystem20231capture3.pcap数据包文件，找出黑客登录被攻击效劳器网站后台使用的账号密码，并将黑客使用的账号密码作为Flag值〔用户名与密码之间以英文逗号分隔，例如：〕9分〕〔login.php〕过滤，查找登录页面，failuresuccess的才可以。Flag:“:///“admin,连续分析数据包capture3.pcap，找出黑客攻击FTP效劳器后猎取到的三个文件，并将猎取到的三个文件名称作为g值〔a/b/〕〔7分〕解题：过滤器：ftp3txt文件，且后面有个包显示“Transfercomplete”LDWpassword.txt/py-jiaoyi.txt/aliyunPassword.txt连续分析数据包capture3.pcap，找出黑客登录效劳器后台上传的一句话木马，并将上传前的一句话木马的文件名称作为g值〔〕3分〕这题还是可以用记事本翻开，查找POST可以看到，一句话木马的密码为：Cknife ，文件名称是trojan.php还有这句话：trojan.phpUploadSuccess。上传成功连续分析数据包capture3.pcapFlag值〔abc12〕3分〕连续分析数据包capture3.pcap，找出黑客上传一句话木马后下载的效劳器关键文件，并将下载的关键文件名称作为g5分〕不会？过滤，查看上传完木马后的数据包，将z1base64解密这几个包应当都是下载这个文件的，最终的一个包显示了数据。capture3.pcap，找出黑客其次次上传的木马文件Flag〔例如：abc12〕1分〕POSTGETGET方式提交的密码Flag: adminPHP连续分析数据包，并将该命令作为g9分〕不会？200OK的包，第一个显示的数据应当是netstat-an显示的结果ping命令：ping28没有找到执行命令的语句，只看到结果第一次上传完木马后也有几个结果，200OK应当是把木马上传到这个名目了，下面有一个dir的命令显示应当是黑客查看了一下木马文件是否在这个名目中所以，这题的参考答案是：netstat-anpingdiricmp过滤，查看状态栏中显示的统计结果capture3.pcapICMP恳求，Flag〔icmp过滤，查看状态栏中显示的统计结果抓包题-logsWiresharkKalilogs.pcapnglogs.pcapng找出恶意用户名目9FLAG〔形式：[robots.txt]〕提交：[star.php]过滤器：连续查看数据包文件logs.pcapng，分析出恶意用户扫描了哪些端口，并将全部的端口作为FLAG〔形式：[端口123n]〕从低到高提交：[21,80,445,1433,3306,3389,5000]IPTCP协议过滤过滤器：ip.src==0andtcptcp：传输掌握协议连续查看数据包文件g〔形式：[robots.txt]〕提交：[name.txt]续查看数据包文件logs.pcapngFLAG〔形式：[/root/