IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> Wireshark学习笔记(二)取证分析案例详解 -> 正文阅读

[网络协议]Wireshark学习笔记(二)取证分析案例详解

练习一:分析用户FTP操作

已知抓包文件中包含了用户登录FTP服务器并进行交互的一个过程,你能否通过wireshark分析出用户登录ftp并进行的一系列操作?

已经明确说明了是FTP服务器,但如果没有点明呢?就可以采用上一篇文章里的方法Wireshark常用功能,采用“统计->协议分级”看到主要涉及到的是ftp协议
在这里插入图片描述
得知主要分析的是FTP协议后,就回到首页进行ftp过滤,然后选中一条进行“追踪流->TCP流”

在这里插入图片描述追踪流后可看到详细信息,包括连接FTP服务的用户名和密码,都是明文传输的,分别是user=admin和password=0p-0p-0p-
在这里插入图片描述除了用户名和密码外,我们可以看到用户在FTP服务器上进行的操作,其中就包括LIST服务,列出目录,但是看不到目录信息
。不过通过端口我们知道进行了tcp协议
端口最大65535,这里用十六进制,248高八位,162低八位,即真正的端口号为248256+162=63650
因此在过滤器处对63650端口进行过滤
在这里插入图片描述发现前三行为三次握手,倒数四行为四次挥手,中间的一个包显然就是连接完成后的操作,我们就追踪这一个包
右键追踪就看到列的目录的完整信息,里面有两个文件,意义不大,继续ftp过滤追踪
看到1323有一个下载的操作
在这里插入图片描述在这里插入图片描述
可以看到下载的时候又开放了一个端口,就去追踪这个
248
256+165=63653
在这里插入图片描述在1332发现数据信息,对其进行追踪
在这里插入图片描述得到了我们看不懂的乱码信息,这是编码为ASCII造成的
在这里插入图片描述为保存下该文件,将其转换为原始数据即可
在这里插入图片描述在这里插入图片描述
将其ctrl+a保存下来,获得图片文件,另存为jpg文件就可以获得一只可爱的巴哥

在这里插入图片描述没人可以拒绝可爱的小巴哥!!!!

练习二:邮件读取

你通过流量劫持的方法获取了目标用户的流量,并通过wireshark记录了他发送邮件的完整过程,你是否知道邮件中写了些什么?

分析邮件,邮件一般走的是smtp或者pop3协议,这就是我们过滤的对象
随便追踪一个流(107)
在这里插入图片描述可以看到登录信息被编码,但是并未加密
在这里插入图片描述复制登陆的用户名和密码信息,尝试使用解码工具,例如Notepad++
在这里插入图片描述解出来的用户名和密码
在这里插入图片描述
如果想要得知发送的邮件内容,就回到抓到包的TCP流,可以看到这一段就是Content即发送多个邮件内容
在这里插入图片描述但由于是Base64编码的中文内容,大概率解码出来也是一大坨乱码,因此我们直接保存为eml文件,然后打开即可查看邮件内容
在这里插入图片描述

练习三:有人在摸鱼?

某部门经理经常向你抱怨他们的网络有时会很卡,并希望你能尽快替他们解决掉这个问题。而你猜测他们网络有时很卡的原因很有可能是有人在进行下载等占用带宽的操作,如何证明给他看?

找网络卡的原因,自然要找有没有很活跃的信息传递,先去找协议分级以及conversation
在这里插入图片描述可以明确看到这两个IP之间,相对来说包更多

在这里插入图片描述于是选中对应IP进行过滤
在这里插入图片描述在这里插入图片描述为了看到具体访问的网站,在显示的column中添加host列
点击编辑设置如下在这里插入图片描述就可以看到访问了host显示的youtube

在这里插入图片描述追踪流也可以看到访问了youtube

在这里插入图片描述跳转后有播放视频的操作
在这里插入图片描述在包中找到了swf文件
在这里插入图片描述内容如下

在这里插入图片描述为了看具体看的是什么视频,和练习一中的图片一样,我们将整个包转化为原始格式然后将文本保存为flv视频文件

在这里插入图片描述发现无法播放,因为我们保存的是整个包的内容,不是从文件开始的地方保存的,因此文件头不对
在这里插入图片描述用winhex打开发现文件头是get,所以肯定无法解析

在这里插入图片描述正常情况是flv开头,简单来说我们保存了整个抓获的包作为视频文件,而实际上的文件部分只有flv开头的那一段,所以ctrl+f我们flvwei
在这里插入图片描述在这里插入图片描述在这里插入图片描述拉到最下方记为文件尾
在这里插入图片描述最后将这一块保存为新的文件
在这里插入图片描述在这里插入图片描述视频即可正常打开
在这里插入图片描述

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-06-14 22:55:59  更:2022-06-14 22:56:53 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 21:25:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计