前言

個人一直對CTF比賽中MISC中流量分析這一塊感興趣…但好像之前參加的培訓沒有涉及到，正好看到了一些相關書籍資料，自己向前輩們學習以后整理一些資料來總結一下（本人是個很菜…還沒入門的pwn手）

互聯網五層模型

在計算機網路這門課中介紹了OSI模型及互聯網五層模型：
在我們使用抓包軟體進行流量分析的時候，抓到的包往往含有資料鏈路層、網路層、傳輸層，應用層四個部分，其中一部分在傳遞到不同層面的時候會被丟棄，我們的wireshark抓的包作業在資料鏈路層，而burpsuite抓的http包則作業在應用層在這里插入圖片描述

物理層

比如兩臺計算機直接相連（或者多臺計算器用hub（集線器）連接）發揮作用就是物理層（線嘛）一臺計算機通過網線發送，另一臺或者幾臺就接收了

但是不夠安全，可能會有信號沖突
所以平時我們一般將物理層的信號，調制成以太網格式，就可以在本地局域網中傳輸，局域網間就連接成互聯網

資料鏈路層

用switch（交換機）相連的時候，采用的就是資料鏈路層上的協議，每一臺計算機有對應的mac地址，當一個計算機要發送資訊時，需要在以太幀頭中指明發送方和接受方的地址，switch會在接受信號后根據地址轉發至一個埠，就避免了信號沖突

網路層

當網路大，且復雜，且mac地址跟硬體系結，如果更換設備又要重新配置網路，所以我們就要用到IP地址網路協議，IP地址和MAC地址通過ARP轉換，路由器讓計算機之間可以跨網段訪問比如192.168.0.0和192.168.1.0，網關則是連接網段的介面，如192.168.0.1、192.168.1.1，一般會先檢查是不是在本網段的IP，如果不是本網段，想要跨網段通信，先要發給路由器上面的網關，然后路由器再跟著IP地址轉發
但事實上我們路由器集成了很多功能，，比如把有線轉無線，還集成了hub，switch，，網關等等（有能力有時間了一定要拆一個hhh）

傳輸層

TCP

網路層完成了IP地址的傳送，但是我們要確保資料傳輸的可靠性，TCP就是通過三次握手確保暢通，通過埠區分連接在這里插入圖片描述
如圖，這里SYN表示請求一個連接，SYN，ACK表示已經收到請求連接，詳情看TCP的三次握手，四次揮手

UDP

如圖，QQ使用的應用層協議是OICQ，OICQ使用的傳輸層協議是UDP.

應用層

http請求等

wireshark的用法

基本用法

打開wireshark，可以看到
在這里插入圖片描述
這是我們的一些介面，我現在用的是Wifi，現在看到我們wifi對應的就是wlan介面，而且我還裝了一些虛擬機，這些就是虛擬機介面，當然也是虛擬的
USBcap就是USB的介面
訪問一個網頁
我們可以打開過濾器，搜索http這樣就可以展示使用這個協議的一些在這里插入圖片描述

我們訪問了一個網站，根據上述方法可以找到這個網站的request請求，我們request請求后，這個網站的服務器會回傳一個response包
response in frame意思是在985幀回傳response，我們打開
在這里插入圖片描述看到了這些資訊，我們打開訪問的網站F12
我們看到這些資訊，和我們回傳包上的值差不多，說明我們成功抓包了
在過濾器輸入以下指令：

我們在這個網站上，重繪一次，就會多出來一個幀在這里插入圖片描述

同樣含有index.html我們發現在這個上面重繪不了在這里插入圖片描述
而且發現，前一個在URL欄顯示不安全，這個不重繪的上面是一個鎖
因為上鎖的這個采用的是https協議，前一個是http協議，https協議是一種加密的協議，請求網站的路徑，內容都看不到
如圖，輸入ssl我們可以看到如下，https我們可以理解為http+ssl/tls層，ssl/tls的強加密

匯出

可以停止后，匯出
也可以右鍵，追蹤流，選擇TCP，然后選擇原始資料
保存后用010editor打開

題目

據前輩介紹，一半是把flag藏在資料包里面，在流量包里找

上課認真聽了嗎？

題目提示，是三種不同的流量在這里插入圖片描述
在最下面，，，我找了半天，，254，我們再找其他的
找tcp contains“flag”
是26
找http contains“flag”找不到？？？點擊左上角放大鏡，點字串搜索flag{加個大括號試試
是340
經組合，flag是flag{25434026}
也可以用默認埠查
比如tcp.port==80
也可以追蹤流里面用flag去查