强网有我—学杂项（二）

#强网有我-学网安，为国安 [庆祝][庆祝][庆祝][庆祝][庆祝][庆祝][庆祝][庆祝][庆祝][庆祝] 6月29日，许昌学院，强网有我-学网安，为国安信息安全实战技术集训社会实践队，开展了有关网络安全基础学习的实践活动。 今天还是继续为大家带来杂项方面流量取证技术有关的一些知识。 通常比赛中会提供一个包含流量数据的 PCAP 文件，有时候也会需要选手们先进行修复或重构传输文件后，再进行分析。PCAP 这一块作为重点考察方向，复杂的地方在于数据包里充满着大量无关的流量信息，因此如何分类和过滤数据是参赛者需要完成的工作。 概括来讲在比赛中的流量分析有以下三个方向：1、流量包修复 2、协议分析 3、数据提取 现在我们来对在比赛中的三个方向进行分析： 1、流量包修复：比如一个流量包它的文件头也是对的，里边也没有包含其他的文件等等等等，但是就是打开出现一些未知的错误，这时候就要考虑对流量包进行修复。 这类题目考察较少，通常都借助现成的工具例如PCAPFIX直接修复。 2、协议分析此类方向需要对分析流量包工具所用的语法有一定的掌握，这里以wireshark为例，须掌握wireshark过滤器（捕捉过滤器与显示过滤器）的基础语法，从而更快更精准的获取指定的信息捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中，需要在开始捕捉前设置。 显示过滤器：用于在捕获结果中进行详细查找，可以在得到捕捉结果后进行更改 3、数据提取这一块是流量包中另一个重点，通过对协议分析，找到题目的关键点，从而对所需要的数据进行提取。

http://www.dxsbao.com/shijian/450097.html 点此复制本页地址