[纵横网络靶场社区]工控安全取证

使用file命令查看capture.log，发现是pcap文件，修改后缀为.pcap

根据题目描述可以理解为两种意思：

• 一个IP的第四次扫描
• 第四个IP的第一次扫描

分析流量包，发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个，流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思，那么flag就应该为192.168.0.9的第四次扫描。

第四次扫描的数据包编号是11，提交flag发现不对。那么题目就应该是第二种意思，即第四个IP的第一次扫描。

继续分析每个IP的扫描包，不难发现每个IP扫描前，都进行了Ping操作，即第一次扫描都是Ping扫描。

所以第四个IP第一次扫描的包编号为：155989；源IP地址为：192.168.0.199

flag{155989}