MISC流量分析

概括

  • 协议分析

    • HTTP

    • HTTPS

    • FTP

    • DNS

    • WIFI

    • USB

    • VOIP

    • 电子邮件协议(SMTP、POP、IMAP、MIME)

  • 数据提取

    • 字符串提取

    • 文件提取

  • 流量包修复

做题步骤

  • 总体把握

    • 协议分级

    • 端点统计

  • 过滤筛选

    • 过滤语法

    • Host,Protocol,contains,特征值

  • 发现异常

    • 特殊字符串

    • 协议某字段

    • flag位于服务器中

  • 数据提取

    • 字符串提取

    • 文件提取

协议分析

  • 概述:计算机网络中进行数据交换而建立的规则、标准或约定的集合。

  • 协议分级,WireShark提供了此功能。

  • 会话,能够显示特定端点IP之间的所有流量。

  • 端点,WireShark能列出所有统计的端点信息。

  • HTTP(超文本传输协议)

    • 概念:用于分布式、协作式和超媒体信息系统的应用层协议。

  • HTTPS(= HTTP + SSL / TLS)

  • FTP(文件传输协议)

    • 是TCP/IP协议组中的协议之一。

    • 一、FTP服务器:存储文件

    • 二、FTP客户端:用户可使用客户端通过FTP协议访问位于FTP服务器上的资源。

  • DNS(通常称为UDP协议)

    • 报文格式
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    +-------------------------------+
    | 报文头                         |
    +-------------------------------+
    | 问题 (向服务器提出的查询部分)    |
    +-------------------------------+
    | 回答 (服务器回复的资源记录)      |
    +-------------------------------+
    | 授权 (权威的资源记录)           |
    +-------------------------------+
    | 额外的 (额外的资源记录)         |
    +-------------------------------+

    其中question部分格式为

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
      0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |                                               |
    /                     QNAME                     /
    /                                               /
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |                     QTYPE                     |
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
    |                     QCLASS                    |
    +--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

    QNAME: 查询的域名,长度可变

    QTYPE: 查询类型,共16种

  • WIFI

    802.11是无线局域网的通用标准。

    常见认证方式:

    • 不启用安全

    • WEP

    • WPA/WPA2-PSK(预共享密钥)

    • PA/WPA2 802.1X(radius认证)

  • USB

    • 鼠标协议

    • 键盘协议

  • ARP(地址解析协议)

    • 概念:将网络层地址(如 IP 地址)解析为数据链路层地址(如 MAC 地址)的协议。

    • 核心功能: 广播请求和单播响应

    1.APR请求

1
2
发送方->局域网: ARP请求(谁有192.168.1.2?)
Note over 局域网: 广播ARP请求

        2.APR响应

1
2
3
局域网->接收方: ARP请求(谁有192.168.1.2?)
接收方->发送方: ARP响应(00:1A:2B:3C:4D:5E)
Note over 接收方,局域网: 单播ARP响应

        3.ARP缓存:发送方在收到ARP响应后,将IP地址和MAC地址映射关系存在ARP缓存中。

  • TCP(传输控制协议)

    • 概念: 位于传输层,提供了可靠的、面向连接的、基于字节流的数据传输服务。

    • 特点: 确保数据在传输过程中不丢失、不重复,按顺序到达。

    • 工作原理:

      • 三次握手”建立连接
1
2
3
4
客户端 -> 服务器: SYN(同步请求)
服务器 -> 客户端: SYN-ACK(同步确认)
客户端 -> 服务器: ACK(确认)
Note over 客户端,服务器: 连接建立,开始数据传输
* **数据传输**

  * 序列号、确认号
  - 重传机制

  - 流量控制

  - 拥塞控制

* “**四次挥手**”终止连接

1
2
3
4
客户端 -> 服务器 : FIN(结束请求)
服务器 -> 客户端 : ACK(确认)
服务器 -> 客户端 : FIN(结束请求)
客户端 -> 服务器 : ACK(确认)
* **特殊情况:**

  - [RST]:立即终止,表示复位或重置

  • ICMP (互联网控制消息协议)

    • 是TCP/IP协议组中的协议之一。

    • 用于诊断网络问题、检测网络可达性、报告错误条件。

    • 常见工具如pingtraceroute 都依赖于ICMP。

    • 常见消息类型:

      • 回显请求(Echo Request)、回显应答(Echo Reply)

        • 用于ping,检测网络连通性。

      • 目的不可达(Destination Unreachable)

        • 报告原因:如网络不可达、端口不可达。

      • 超时(Time Exceeded)

        • 报告数据包的TTL值耗尽,用于traceroute

      • 重定向(Redirect)

        • 通知发送方使用更优的路由路径。

  • VOIP (基于IP的语音传输)

    网际协议:

    • 会话发起协议(SIP)

    • 会话描述协议(SDP)

    • 实时传输协议(RTP)

    • H.323

    攻击方法: 抓包后在Wireshark中的”电话 -> Voip”通话中分析。

  • 电子邮件协议

    • SMTP:电子邮件发送协议

      • 默认端口号:25

    • POP:电子邮件接收协议

      • 默认端口号:110

    • IMAP:电子邮件接收协议

      • 默认端口号:143
WriteUp
#CTF
MISC流量分析
http://ramoor.github.io/2025/04/02/MISC流量分析/
作者
Ramoor
发布于
2025年4月2日
许可协议