2021-08-21 网安实验-wireshark之文件还原

实验步骤一

黑客A通过ARP欺骗，使用wireshark获取了整个局域网内的网络流量信息。无意之中，他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件，没办法，他将监听到的数据包保存为了一份wireshark的监听记录，将通过以下三个任务完成那份上传文件的还原。

1）对抓到的包进行显示过滤，找到关键信息。

2）对信息进行跟踪，确定上传文件的TCP流，并保存为二进制原始文件。

3）对文件中上传文件的信息进行处理，去掉多余的包头和包尾，得到原始文件。

  

 

  
1
  
2
  
3
  
4
  
5
 

任务描述：使用wireshark导入监听数据包，对数据进行显示过滤，提取出来关键信息。

1. 打开catchme.pcapng，双击即可。会发现数据记录一共有148条。如果单纯的从开始到结尾去一条一条的审计，是非常费力的事情。而且实际操作过程中，大部分情况会多于148条记录。
   

2. 此处，利用Wireshark提供的强大的过滤显示功能。在filter中可以定义显示的数据包类型。此处上传时访问的是网站，因此在filter中输入http进行协议过滤ÿ

文章来源: codeboy.blog.csdn.net，作者：愚公搬代码，版权归原作者所有，如需转载，请联系作者。

原文链接：codeboy.blog.csdn.net/article/details/119823573