Wireshark之文件还原.docx
- 文档编号:1613451
- 上传时间:2023-05-01
- 格式:DOCX
- 页数:5
- 大小:237.64KB
Wireshark之文件还原.docx
《Wireshark之文件还原.docx》由会员分享,可在线阅读,更多相关《Wireshark之文件还原.docx(5页珍藏版)》请在冰点文库上搜索。
Wireshark之文件还原
Wireshark之文件还原
1实验简介
1.
实验所属系列:
数据安全
实验对象:
本科/专科信息安全专业
相关课程及专业:
计算机网络
实验时数(学分):
2学时
实验类别:
实践实验类
2实验目的
通过该实验了解wireshark的使用方法,能够通过分析还原网络数据发送现场,并将发送的信息通过wireshark和winhex还原成原文件。
3预备知识
1.关于wireshark的一些基础知识
首先,wireshark不会像burpsuite那样可以对数据包进行修改,它能做的只是监听网络流量信息并完整的记录下来。
可以说,wireshark起到的是一个还原现场的作用。
请记住,wireshark只是一个帮助你审计的工具,至于怎么去审计,只能考自己去分析。
其次,说说wireshark在安全方面的作用。
Wiki上是这样描述的:
对于安全人员而言,网络安全工程师可以使用wireshark来检查讯息安全相关的问题。
对于网络安全而言,现场很重要,黑客攻击的过程和服务器被攻击的过程都必须使用网络,wireshark完全可以记录下来,这也正是wireshark强大的地方。
2.对本节课使用到的winhex的简单描述
Winhex是一款非常优秀的16进制编辑器,事实上,使用winhex单纯进行16进制编译在某些程度上有些大材小用,市场上很难找到像winhex一样功能强大的16进制编辑器。
当然,它是收费的。
本节课我们使用的是winhex的评估版本,可以满足需要。
如果你想对winhex有更深层次的了解,建议您去官方网站上进行咨询。
4实验环境
服务器:
WindowsXPSP3,IP地址:
随机分配
辅助工具:
winhex,Wireshark
5实验步骤
黑客A通过ARP欺骗,使用wireshark获取了整个局域网内的网络流量信息。
无意之中,他发现有人在某个网站上上传了一份文件。
但是他不知道怎么样通过wireshark去还原这份文件,没办法,他将监听到的数据包保存为了一份wireshark的监听记录,打算去向你请教。
你能帮助他找到那份上传的文件吗?
我们的任务分为3个部分:
1.对抓到的包进行显示过滤,找到关键信息。
2.对信息进行跟踪,确定上传文件的TCP流,并保存为二进制原始文件。
3.对文件中上传文件的信息进行处理,去掉多余的包头和包尾,得到原始文件。
5.1实验任务一
任务描述:
使用wireshark导入监听数据包,对数据进行显示过滤,提取出来关键信息。
1.打开catchme.pcapng,双击即可。
会发现数据记录一共有148条。
如果单纯的从开始到结尾去一条一条的审计,是非常费力的事情。
而且实际操作过程中,148条记录,已经算是很少的了。
2.好在wireshark为我们提供了强大的过滤显示功能。
我们在filter中可以定义显示出来什么样的数据包。
3.从题目我们可以明确,上传时访问的是个网站,因此我们需要进行协议过滤。
在filter中输入http,表示我们要显示所有使用http协议的数据包。
输入回车,或者点击旁边的APPLY按钮,就可以进行显示过滤。
从图上下方我们可以看到,数据包由原来的148个变成了32个。
这样就很容易帮我们分析了。
4.仔细分析,我们会在末尾左右的第143条数据记录中的info中看到upload这个词,我们怀疑这条就是涉及到上传的数据包。
如果你在此之前有些编写网站的经验,就会知道上传文件提交可以使用post一个表单的形式。
所以,你也可以使用包过滤显示,选出所有使用post方法提交的数据包。
我们可以输入http.request.method==”POST”进行包过滤。
这时候的显示如下:
看到了吧,这时候只显示了唯一一条记录,就是我们刚才找到的序号为143的记录,是不是快了很多啊。
因此,掌握数据包过滤,是熟练掌握wireshark的必备技能之一。
5.1.2.练习
关于wireshark过滤功能,以下说法错误的是?
【单选题】
【A】wireshark使用显示过滤,我们看到的数据包数目会变小,因此意味着我们的数据包文件也会跟着变小。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Wireshark 文件 还原