在CTF里,一些pcapng或pcap文件后缀的数据
不同的数据包有不同的协议,常见的有HTTP,TCP协议
Wireshark
简介
是一个网络封包分析软件。网络封包分析软件的功能是获取网络封包,并尽可能显示出最为详细的网络封包资料
使用WinPCAP作为接口,直接与网卡进行数据报文交换
HTTP三次握手
可以看出HTTP连接建立的三次握手,看到HTTP请求建立过程中对应的链路层,网络层,物理层的详细信息
第一次握手的时候,客户端发送syn包到服务器,并进入SYN_SEND状态,等待服务器确认
第二次握手的时候,服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态
第三次握手的时候,客户端收到服务器的SYN+ACK包,向服务器确认包ACK,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手
数据包的筛选
#ip筛选
ip.src==地址 #源IP筛选
ip.dst==地址 #目的IP筛选
ip.addr==地址 #ip筛选
#mac地址筛选
eth.dst==mac地址 #目标mac地址筛选
eth.addr==mac地址 #mac地址筛选
#端口筛选
tcp.dstport=80 #筛选tcp协议的目标端口为80的流量包
tcp.srcport=80 #筛选tcp协议的源端口为80的流量包
udp.srcport=80 #筛选tcp协议的源端口为80的流量包
#协议筛选
tcp
udp
arp
icmp
数据包搜索
Ctrl+F
跟踪流
导出分组字节流
查找方式
过滤POST的包
http.request.method==POST
