日报日报流量分析

快捷键

Ctrl+K，选择需要抓包的网卡         Ctrl+F可以进行关键字搜索      Ctrl+M，标记数据包

Ctrl+Shift+N跳到标记处

查看包有多少协议Protocol Hierarchy（协议分级）

搜了一下TCP协议，是互联网最基本的协议，分为4层，了解了一下tcp协议，具体请看TCP协议详解 (史上最全)-CSDN博客

谁和谁进行了通信： Conversations

常见报错和解决手法

please turn off promiscuous mode for this device 
译⽂：[错误：未能将硬件过滤器设置为混杂模式- 请为此设备关闭混杂模式] 

捕获-选项 -input取消掉

基于协议过滤手法

 icmp协议数据包有时流量分析的题目会考到协议本质上去，比如说题目要求flag{报文重定向的数量}，分析capture.pcapng数据包文件,这些数据中有非常多的ICMP报文,这报文中有大量的非正常ICMP报文,找出类型为重定向的所有报文,将“报文重定向的数量”作Flag值提交

过滤手法：icmp.type eq 5

知识补充
每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下:

· 诊断报文(类型:8,代码0;类型:0代码:0)

· 目的不可达报文(类型:3,代码0-15)

· 重定向报文(类型:5,代码:0 -- 4)

· 超时报文(类型:11,代码:0 -- 1)

· 信息报文(类型:12 -- 18)

我这个文件是没有的，右下角的已显示就是值重定向文件的数量

基于协议的衍生-常用过滤语法

这里我们列举常用的过滤手法,拿HTTP协议为例

http.request.uri == "/img/logo-edu.gif"

 上面是一些知识点，下面看例题，好吧，其实主要是那些过滤语法

流量分析1

分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10）得到的所有答案用Yunxi{}包裹后提交。

流量分析2

分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32）

如图所示，当时瞎了

流量分析3

分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1）

在数据包的起始位置可发现IP地址192.168.75.132在发送不同length的请求怀疑为攻击方

还看了2024数证被的例题是IP地址192.168.75.132一直在广播探测75.X段主机存活

这里补充广播探测：攻击者通常使用 ARP扫描 或 ICMP Ping扫描 探测局域网内存活的主机。

ARP扫描（如 arp who-has 请求）用于发现同一子网内的主机MAC地址。

ICMP扫描（如 ping 请求）用于确认目标主机是否在线。

目标网段：攻击者扫描 192.168.75.X，说明其可能试图发现该网段内的潜在受害者（如服务器、PC、IoT设备等）。

随便点一个包可发现源地址为192.168.75.132，目的地址为192.168.75.131，因此可确认受害者的IP地址是192.168.75.131

流量分析4

分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu）

直接查看源IP地址为192.168.75.131的HTTP协议的数据包，在HTTP头信息中即可得知受害者所使用的操作系统为ubuntu。

显示操作系统