wireshark使用技巧部分截图(仅作记录)

准备信息安全铁人三项的数据赛，这是实验吧上的教学视频，顺手截了下图，给学弟做下参考（更多高级用法搜帖子，书籍的话有本诸葛建伟前辈翻译的《wireshark数据包分析实战 第二版》可以系统的学习下）。
在实际比赛中，由于数据包一般都比较大，先通过脚本进行下流量清洗会有事半功倍的效果（感觉上kali下wireshark命令行工具tshark以及TCPdump效率更高，因为是命令行的原因，反而更有利于减少干扰，保持专注)。
以下为几点注意事项：
1、wireshark过滤DHCP时直接输入dhcp会报错，应输入bootp
2、利用过滤http，导出http，保存成相应文件。
arpr.exe爆破压缩包
3、ftp
ftp-data or ftp
STOR命令为上传命令
DELE删除
CWD请求目录
LIST列出目录内容
4、urldecode解码，解码后z0部分base64解码，PHP代码在线格式化（输入头<?php 点击格式化即可）
5、一般先url解码，载base64解码
6、攻击行为特征
404 目录扫描
select…from等关键词——sql注入
POST请求 用户名和密码——爆破
/../../.. ——测试文件包含
echo等——命令执行
http、POST、”@eval“——一句话木马特征
大量404——目录扫描
内网环境，因此攻击者一般为外网ip，被攻击者为内网
ip.addr ==攻击者ip and http.request.method ==POST
最后一条login信息，中提交的用户名密码，且下一次访问换了目录，一般为攻击者成功破解并登录
7、关键字
过滤多个关键字：ip.addr==攻击者IP and http.request.uri matches "edit|upload|modify"
文件修改关键字：edit/upload/modify
登录关键字：admin/login/manage
8、菜刀
查看菜刀连接地址在上一层传输层
ctrl+shift+n追踪到下一条
注：如果是明文说明是下载文件；base64编码则是读取文件内容

wireshark对应七层模型.png 捕获.JPG 捕获2.JPG 过滤规则.JPG 过滤规则2.JPG 考察点.JPG 日志.JPG 使用技巧1.JPG 使用技巧2-提取文件.JPG 使用技巧3-日志分析.JPG 使用技巧4-TCP分析.JPG 使用技巧4-TCP分析-标识位.JPG 使用技巧5-DHCP.JPG 使用技巧6-ARP.JPG 使用技巧6-ARP头格式.JPG 使用技巧7-FTP.JPG