流量分析
前言
流量分析在misc赛题中常常出现,个人认为有点意思,遂写以下个人总结()
eg. buuctf ——wireshark,被嗅探的流量(比较基础)
2025 RCTF ——Shadows of Asgard
由于个人水平有限,属于新手,出现错误请见谅()后续会不断完善~~(如果记得的话)~~
一.定义:
流量分析(Traffic Analysis)是指对网络流量数据进行分析和解释,以获得有关网络中通信的信息和情报。这种技术可以用于网络安全、网络管理和网络优化等领域。
网络流量包含了许多有关网络通信的细节信息,如源IP地址、目标IP地址、端口号、协议类型、数据包大小、传输速率等等。通过对这些信息进行分析和解释,可以获得对网络通信的深入理解,并发现潜在的问题和威胁。需要了解网络协议、数据包分析、安全攻防技术等相关知识。此外,还需要使用专业的流量分析工具,如Wireshark、tcpdump、Snort等等,以捕获和分析网络流量数据。在网络安全领域,流量分析被广泛应用于入侵检测、网络监控、漏洞分析等方面。例如,通过对网络流量进行分析和解释,可以发现恶意软件、网络钓鱼攻击、DDoS攻击等各种网络威胁,并采取相应的防御措施。
在这里我用wireshark进行说明~~(骗你的,只用过wireshark)~~
二.wireshark
首先我们要先理解wireshark的基本作用和使用方法:
1.wireshark提供了三个主要面板,包括:
抓包面板(Capture Panel):抓包面板用于捕获网络数据包,并显示已经捕获的数据包列表。在该面板中,可以选择捕获的网络接口、设置捕获过滤器、启动和停止抓包等操作。此外,还可以通过右键单击数据包,查看详细信息、导出数据包、跟踪TCP流等。
数据包列表面板(Packet List Panel):数据包列表面板显示已经捕获的数据包列表,其中每个数据包占据一行,并列出了有关该数据包的一些关键信息,如时间戳、源IP地址、目标IP地址、协议类型、数据包长度等。此外,还可以通过对列表进行排序、筛选、搜索等操作,方便用户查找和分析数据包。
数据包详情面板(Packet Detail Panel):数据包详情面板显示选定数据包的详细信息,包括各个协议层的数据结构和字段值。用户可以通过展开不同的节点,查看不同的协议头和数据负载,帮助用户深入理解数据包的内容和意义。
常用语法
(在搜索框输入http即可看http的流量)
1 | tcp:显示所有TCP协议的数据包 |
ip地址筛选:
1 | ip.addr == 192.168.0.1:显示与指定IP地址相关的所有数据包 |
端口筛选:
1 | tcp.port == 80:显示使用指定TCP端口的数据包 |
比较运算符:
1 | ==:等于,例如:http.request.method == "POST" (重要) |
数据包内容过滤规则:
1 | http.request.method == "GET" 或 tcp.flags.syn == 1,可以通过指定数据包内容,只保留符合条件的数据包。 |
复杂筛选:
eg.
1 ip.src == 192.168.0.1 and tcp.port == 80
这个表达式的作用是:选择源IP地址为192.168.0.1并且目标TCP端口为80的网络流量。
1 | ip.addr == 192.168.1.8 || ip.addr == 202.1.1.2) && http.request.method==POST |
这个表达式的作用是:选择源IP地址为192.168.1.8或202.1.1.2,并且HTTP请求方法为POST的网络流量。
三.基本应用
由于个人也没怎么用过wireshark,所以这里只介绍一部分最简单的应用事例:
eg1.buuctf-misc-easycap
这里是最简单的应用了,页面多为tcp流便可直接跟踪tcp流获得flag。
如下图:

eg2.2025 RCTF ——Shadows of Asgard
Leave a comment