流量分析
1.流量分析是什么?
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
CTF比赛中,通常比赛中会提供一个包含流量数据的 PCAP 文件,进行分析。
2.数据包分析
- 总体把握
– 协议分级
– 端点统计
- 过滤赛选
– 过滤语法
– Host,Protocol特征值
- 发现异常
– 特殊字符串
– 协议某字段
- 数据提取
– 字符串取
– 文件提取
3.工欲善其事,必先利其器。
- -------wireshark
- -------tcpdump
- -------RawCap
- 一般情况下,非HTTP协议的网络分析,在服务器端用tcpdump比较多,在客户端用wireshark比较多,两个抓包软件的语法是一样的。
4.宝刀初现
- Wireshark捕获任何类型的网络数据包。
- 同时wireshark作为一个开源项目,来自全世界的开发者不断的优化wireshark
- wireshark是用C语言进行编写的。C语言的好处是直接操作内存,效率高https://wizardforcel.gitbooks.io/wireshark-manual/content/(中文使用文档)
5.宝刀长这个样子
