除了圖片，封包 (Packet) 也是 Forensics 題目中非常熱門的一環。

在 CTF 裡，我們經常拿到一個 pcap 檔案，需要用工具分析出 flag。

什麼是封包分析?

• 封包 (Packet)：網路傳輸的最小單位，像是資料的一小片段。
• Wireshark：最常見的封包分析工具，可以開啟 .pcap 檔，逐一檢查封包內容。

常用方法

1. 檢視下載的資源
   • File → Export Objects → HTTP
   • Wireshark 會列出所有 透過 HTTP 下載的檔案
2. 追蹤 TCP/UDP 流 (Follow Stream)
   • 右鍵 → Follow → TCP Stream
   • 還原成可讀的對話/資料內容。
3. 過濾封包
   • 協議：直接輸入協議名即可過濾出對應數據。例如：
     • tcp：顯示所有 TCP 數據
     • udp：顯示所有 UDP 數據
     • arp、icmp、http、smtp、ftp、dns、ssl、ssh 等同理
   • IP：
     • 常用字段:
       • ip.src：源 IP 地址
       • ip.dst：目標 IP 地址
       • ip.addr：匹配數據中出現的任一IP 地址（即包括源及目標）
       • 🌰過濾某個IP的數據:ip.src == 192.168.1.100 or ip.dst == 192.168.1.100 or ip.addr == 192.168.1.100
     • 不等於
       • Wireshark不支持直接用 != 表達不等，需要用 not ...==... 或 ! 來表達
       • 🌰過濾出TCP端口不為3389 & IP位址不為10.135.71.54 & 端口不為80 : not tcp.port == 3389 and not ip.addr == 10.135.71.54 and not tcp.port == 80
   • HTTP：過濾http模式
     • http.request.method == "HEAD"
     • http.request.method == "GET"
     • http.request.method == "POST"
   • 字串：
     • 用 contains 來過濾字串 :
       • 模糊搜尋，只要有包含該字串就會被篩選出來
       • http contains "flag"：搜尋 HTTP 協議的封包內容中有出現 "flag" 字樣的
       • tcp contains "login"：搜尋 TCP 的 Payload 裡有 "login" 的封包
       • dns.qry.name contains "example.com"：DNS 查詢中包含特定域名
     • 萬用搜尋 :
       • frame contains "string"：搜尋整個封包（不管哪一層）中出現 "string"的封包

picoCTF - Wireshark doo dooo do doo...

打開後可以看到有很多HTTP跟TCP封包

我們可以選擇任一TCP封包，按右鍵選擇 Follow → TCP Stream

我們可以透過調整右下角的Stream index來查看不同的內容

可以發現當我們調到第五個時出現了很像flag了內容！

拿去做做看凱薩加密的解密，在key = 13時成功解出正確flag ！

以上就是今天wireshark的內容，明天會講關於disk image的分析！

想看更多，歡迎明天再來ㄛ~