流量包分析簡介[編輯]

CTF 比賽中,流量包的取證分析是另一項重要的考察方向。

通常比賽中會提供一個包含流量數據的 PCAP 文件，有時候也會需要選手們先進行修復或重構傳輸文件後，再進行分析。

PCAP 這一塊作為重點考察方向，複雜的地方在於數據包里充滿着大量無關的流量信息，因此如何分類和過濾數據是參賽者需要完成的工作。

總的來說有以下幾個步驟

• 總體把握
  • 協議分級
  • 端點統計
• 過濾賽選
  • 過濾語法
  • Host，Protocol，contains，特徵值
• 發現異常
  • 特殊字符串
  • 協議某字段
  • flag 位於服務器中
• 數據提取
  • 字符串取
  • 文件提取

總的來說比賽中的流量分析可以概括為以下三個方向:

• 流量包修復
• 協議分析
• 數據提取