亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Wireshark系列之6 數據流追蹤

發布時間:2020-07-05 09:42:46 來源:網絡 閱讀:56650 作者:yttitan 欄目:安全技術

以下內容主要是引用自合天網安中的一個實驗案例:***A通過ARP欺騙,使用Wireshark獲取了整個局域網內的網絡流量信息。無意之中,他發現有人在某個網站上上傳了一份文件。但是他不知道怎么樣通過Wireshark去還原這份文件,沒辦法,他將監聽到的數據包保存為了一份Wireshark的監聽記錄,打算去向你請教。你能幫助他找到那份上傳的文件嗎?

我們可以自己準備一張圖片test.jpg,并隨便找一個允許上傳的網站,然后用Wireshark將上傳的過程抓包,這里我已經將自己的抓包結果保存成文件catchme.pcapng,并在附件里提供下載。

打開抓包文件之后,會發現數據記錄一共有344條。如果單純的從開始到結尾去一條一條的審計,是非常費力的事情。

Wireshark系列之6 數據流追蹤

這里我們使用顯示過濾器進行過濾,由于上傳文件采用的是HTTP協議,因而使用過濾規則“http”,過濾之后發現數據包由原來的344個變成了137個,這樣就很容易幫我們分析了。仔細分析,我們會在第209條數據包的info中看到upload這個詞,我們懷疑這條就是涉及到上傳的數據包。

Wireshark系列之6 數據流追蹤

由于上傳文件都是采用POST方法,因而我們也可以使用過濾規則“http.request.method==POST”進行更精確的過濾,這時就只有47個數據包了。因而掌握數據包過濾,是熟練掌握Wireshark的必備技能之一。

雖然我們看到了有upload關鍵字,有POST方法,但是我們不能確定是不是真的就是上傳文件的那個請求。雙擊第209號數據包進行專門分析,在應用層數據中可以看到確實是上傳了文件,而且文件名是test.jpg。

Wireshark系列之6 數據流追蹤

在傳輸層部分可以看到,由于文件比較大,TCP協議將其分成了16個數據段Segment,每個數據段都是一個獨立的數據包,點擊各個Frame,就可以看到數據包中的內容。

Wireshark系列之6 數據流追蹤

但問題是每個數據包中都只包含了上傳文件的一部分,要想還原上傳的文件,就必須將這些被分片的數據包重新組合成一個整體。在Wireshark中提供了一項“數據流追蹤”功能,就可以來完成這項任務。

回到Wireshark的主界面,在209號數據包上點擊右鍵,選擇“追蹤流/TCP流”,

Wireshark系列之6 數據流追蹤

這時整個TCP流就會在一個單獨的窗口中顯示出來,我們注意到這個窗口中的文件以兩種顏色顯示,其中紅色用來標明從源地址前往目的地址的流量,而藍色用來區分出相反方向也就是從目的地址到源地址的流量。這里顏色的標記以哪方先開始通信為準,一般情況下都是由客戶端主動發起與服務器的連接,所以大都是將客戶端的通信顯示為紅色。

由于上傳的文件都是在客戶端發出的數據部分提交的,因而我們可以過濾掉服務器發回的響應信息。在下方的數據流向中選擇從客戶端到服務器的流向,這時候就沒有響應部分出現了。

Wireshark系列之6 數據流追蹤

將數據流保存成原始文件,以便下一步處理。需要注意的是,在保存之前一定要將數據的顯示格式設置為“原始數據”。

Wireshark系列之6 數據流追蹤

這里將文件的擴展名指定為.bin,以使用二進制形式保存文件。

Wireshark系列之6 數據流追蹤

在下篇博文中我們將利用WinHex從這個原始文件中將上傳的圖片還原出來。

附件:http://down.51cto.com/data/2367336
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

湘潭市| 清水河县| 大连市| 修水县| 铜川市| 丰县| 中江县| 历史| 石家庄市| 新昌县| 英山县| 望江县| 松原市| 张家界市| 平乐县| 桂平市| 萨迦县| 大埔县| 穆棱市| 丹巴县| 浦城县| 普兰店市| 八宿县| 樟树市| 玛沁县| 莱阳市| 灵石县| 滕州市| 岐山县| 松桃| 卫辉市| 万山特区| 烟台市| 界首市| 金川县| 富蕴县| 湟源县| 凤城市| 巴林右旗| 邵东县| 松潘县|