流量分析

wireshark过滤器

1.过滤ip地址

ip.src==x.x.x.x or ip.dst==x.x.x.x或者ip.addr==x.x.x.x

2.过滤端口

tcp.port==80 or udp.port==80

tcp.dstport==80  //只显tcp协议且目的端口为80

tcp.srcport==80  //只显udp协议且源端口为80

tcp.port>=1 and tcp.port<=80   //tcp协议的1到80端口

3.过滤协议

tcp/udp/arp/icmp/http/ftp/dns....

4.过滤MAC

eth.dst==xx:xx:xx:xx:xx:xx //过滤目标MAC

5.包长度过滤

udp.length==26  //这个长度是指udp本身固定长度8加上数据的和

tcp.len>=7  //指的是数据包不包括tcp本身

ip.len==94 //从ip本身到最后

frame.len==119 

6.http模式过滤（最常见）

http.request.method==GET

http.request.method==POST

http.request.uri=="/img/logo-edu.gif"

http contains "GET"

http contains "HTTP/1."

http.request.method=="GET" && http contains "flag"

http contains "flag"

http contains "key"

tcp contains "flag"

wireshark的基本使用

查看流量组成：在工具栏点击统计，再点击协议分级，可以看到该数据包的流量组成

追踪流：点击一条记录，右键可以选择追踪流。可以检测完整的访问记录

常见http流关键信息

1.html中直接包含重要信息

2.上传或下载文件内容，通常包含文件名，hash值等重要信息。通常用POST请求上传

3.一句话木马，POST请求，内容包含eval，内容使用base64加密

提取文件

1.自动提取某些协议传输的文件内容（HTTP，TFTP等）

工具栏选择文件，导出对象

2.手动提取文件内容

选中想要保存的流，右键，导出分组字节流

无限流量包跑密码

aircrack-ng工具进行wifi密码破解

1.检查cap包

aircrack-ng xxx.cap

2.跑字典破解wifi密码

aircrack-ng xxx.cap -w password.txt

USB流量分析

键盘敲击，鼠标移动与点击，存储设备的明文传输通信，usb无线网卡网络传输内容

数据提取方法：文件->导出分组解析结果->保存为.csv

或者使用wireshark的命令行工具tshark

tshark -r usb1.pcap(导入的文件) -T fields -e usb.capdata > usbdata.txt(导出的文件名)

HTTPS流量包分析

https的流量是经过TLS加密的，需要导入key才能看到原始http流

导入： 编辑->首选项->protocols->ssl->EditRSA keys list

怎么判断是https：看到443端口，或者有TLS流量