流量包文件分析

流量包就是說我向你傳遞的時候，把你傳遞過程中的數據抓取下來，保存成一個文件

流量取證技術就是說：題目會給你一個流量包，你要在流量包里面找到相應的一些文件（有時候flag值就藏在流量包的某一個位置）

①wirkshark工具

查看自己的電腦有沒有安裝wireshark：win+R——》輸入wireshark看能不能打開
kaliLinux自帶了wireshark

利用wirkshark工具的過濾器功能

常用的過濾命令

1、 過濾IP 如過濾源IP或者目的IP

ip.src eq x.x.x.x 過濾源ip （eq可以寫等于號==）

ip,dst eq x.x.x.x 過濾目的ip

ip.addr eq x.x.x. 過濾某個ip地址

2、 過濾端口

網頁的端口一般是80端口

tcp.port eq 80 udp.port eq 80 過濾tcp或者udp的80端口流量包

tcp.dstport == 80 只顯示tcp協議的目標端口為80的流量包

tcp.srcport == 80 只顯示tcp協議的源端口為80的流量包

tcp.port >=1 and tcp.port <=80

3、 過濾協議

直接輸入

（可以先看http）

4、過濾mac地址

5、包長度過濾

6、http模式過濾★★★★

contain非常好用 類似于一個搜索功能

通常打開一個流量包，先篩選一下有沒有HTTP，如果沒有第二件事就是去看它大致有哪些協議，看一下它有沒有包含flg、key、提示內容。。。。

wireshark協議分析（分級）

協議分級：

wireshark流匯聚：

一般是用流匯聚去追蹤tcp或http的流量

②無線流量包破解密碼

③usb流量包文件分析

1 鍵盤流量包抓取分析

下圖中的python腳本可以將usb的leftover capture data數據映射為鍵盤數據（abc……）

leftover capture data數據提取方式1 ：導出到excel表中（會自動變成科學計數法）《——不好用

leftover capture data數據提取方式2：利用wireshark提供的命令行鞏固tshark，可以將leftover capture data數據單獨復制出來

kali和Windows都可以用

2 usb鼠標流量抓取分析

腳本中倒數第三行中的flag1表示順序為左，flag2表示右，分析時有時候需要改變左右。

④https流量包文件分析

https=http（協議）+tls（套階層）

下圖中的key需要通過題目線索得到



本文章從我另外一個博客copy過來：https://www.cnblogs.com/hsp1269/p/13855607.html

總結

以上是生活随笔為你收集整理的杂项题的基本解题思路——4、流量取证技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。