快捷鍵

Ctrl+K，選擇需要抓包的網卡???????? Ctrl+F可以進行關鍵字搜索??????Ctrl+M，標記數據包

Ctrl+Shift+N跳到標記處

查看包有多少協議Protocol Hierarchy（協議分級）

搜了一下TCP協議，是互聯網最基本的協議，分為4層，了解了一下tcp協議，具體請看TCP協議詳解 (史上最全)-CSDN博客

誰和誰進行了通信：?Conversations

常見報錯和解決手法

please turn off promiscuous mode for this device 
譯?：[錯誤：未能將硬件過濾器設置為混雜模式- 請為此設備關閉混雜模式] 

捕獲-選項 -input取消掉

基于協議過濾手法

?icmp協議數據包有時流量分析的題目會考到協議本質上去，比如說題目要求flag{報文重定向的數量}，分析capture.pcapng數據包文件,這些數據中有非常多的ICMP報文,這報文中有大量的非正常ICMP報文,找出類型為重定向的所有報文,將“報文重定向的數量”作Flag值提交

過濾手法：icmp.type eq 5

知識補充
每一個包都是通過數據鏈路層DLC協議,IP協議和ICMP協議共三層協議的封裝。DLC協議的目的和源地址是MAC地址,IP協議的目的和源地址是IP地址,這層主要負責將上層收到的信息發送出去,而ICMP協議主要是Type和Code來識別,“Type:8,Code:0”表示報文類型為診斷報文的請求測試包,“Type:0,Code:0”表示報文類型為診斷報文類型請正常的包。ICMP提供多種類型的消息為源端節點提供網絡額故障信息反饋,報文類型可歸納如下:

· 診斷報文(類型:8,代碼0;類型:0代碼:0)

· 目的不可達報文(類型:3,代碼0-15)

· 重定向報文(類型:5,代碼:0 -- 4)

· 超時報文(類型:11,代碼:0 -- 1)

· 信息報文(類型:12 -- 18)

我這個文件是沒有的，右下角的已顯示就是值重定向文件的數量

基于協議的衍生-常用過濾語法

這里我們列舉常用的過濾手法,拿HTTP協議為例

http.request.uri == "/img/logo-edu.gif"

?

?

?上面是一些知識點，下面看例題，好吧，其實主要是那些過濾語法

流量分析1

分析網絡流量包檢材，寫出抓取該流量包時所花費的秒數？（填寫數字，答案格式：10）得到的所有答案用Yunxi{}包裹后提交。

流量分析2

分析網絡流量包檢材，抓取該流量包時使用計算機操作系統的build版本是多少？（答案格式：10D32）

如圖所示，當時瞎了

流量分析3

分析網絡流量包檢材，受害者的IP地址是？（答案格式：192.168.1.1）

在數據包的起始位置可發現IP地址192.168.75.132在發送不同length的請求懷疑為攻擊方

還看了2024數證被的例題是IP地址192.168.75.132一直在廣播探測75.X段主機存活

這里補充廣播探測：攻擊者通常使用 ARP掃描 或 ICMP Ping掃描 探測局域網內存活的主機。

ARP掃描（如 arp who-has 請求）用于發現同一子網內的主機MAC地址。

ICMP掃描（如 ping 請求）用于確認目標主機是否在線。

目標網段：攻擊者掃描 192.168.75.X，說明其可能試圖發現該網段內的潛在受害者（如服務器、PC、IoT設備等）。

隨便點一個包可發現源地址為192.168.75.132，目的地址為192.168.75.131，因此可確認受害者的IP地址是192.168.75.131

流量分析4

分析網絡流量包檢材，受害者所使用的操作系統是？（小寫字母，答案格式：biwu）

直接查看源IP地址為192.168.75.131的HTTP協議的數據包，在HTTP頭信息中即可得知受害者所使用的操作系統為ubuntu。

顯示操作系統

?