CTF流量分析技术详解 一、流量分析的核心作用 溯源攻击 ：通过分析网络流量包（如.pcap文件）还原攻击路径、识别攻击手法。 协议解析 ：重点针对HTTP/HTTPS、DNS、TCP/UDP、ICMP等协议中的异常行为。 数据提取 ：从流量中提取隐藏的Flag、加密密钥或敏感信息。 二、常见协议分析要点 | 协议 | 关键分析内容 | 工具/方法 | |--------|---------------------------------------|-------------------------------| | HTTP | - GET/POST请求参数（如 ?cmd=whoami ） - Cookie篡改、Header注入 - 文件上传流量（Content-Type校验） | Wireshark过滤： http.request BurpSuite重放 | | DNS | - 高频率请求（DDoS特征） - TXT记录中的Base64数据 - 域名字符串隐写（如 flag.example.com ） | tshark -r file.pcap -Y "dns" | | TCP | - 非标准端口通信（如4444用于反弹Shell） - 数据流中的Hex/ASCII可读字符串 | Wireshark → Follow TCP Stream | | ICMP | - 异常大的Payload（ICMP隧道工具如pingtunnel） - 请求间隔规律性 | 检查Packet长度和Time Delta | 三、实战分析流程 初步筛选 使用Wireshark过滤高流量IP： ip.src == 192.168.1.100 统计会话频率： Statistics → Conversations → TCP/UDP 深度检测 HTTP流量 ：搜索 /admin 路径、 Authorization: Basic 字段。 DNS隐蔽信道 ：提取所有TXT记录并解码： 文件还原 ：从HTTP/FTP流量中导出传输的文件（Wireshark → File → Export Objects）。 异常行为识别 定时请求 ：如每60秒向C2服务器发送心跳包。 协议混淆 ：HTTP流量中夹杂SSH协议特征（如 SSH-2.0 ）。 四、工具链推荐 | 工具 | 用途 | 示例命令 | |---------------|-------------------------------------|-----------------------------------| | Wireshark | 图形化流量分析 | 过滤WebShell流量： http contains "eval(" | | Tshark | 命令行版Wireshark | tshark -r file.pcap -Y "tcp.port==8080" | | NetworkMiner | 提取文件/证书 | 自动解析HTTP传输的ZIP/EXE文件 | | Zeek (Bro) | 生成协议日志 | 输出HTTP日志： zeek -r traffic.pcap http.log | 五、CTF典型题型解法 Web流量中的Flag 步骤：过滤HTTP → 追踪流 → 查找 flag{ 或 == （Base64尾缀）。 DNS隐蔽通信 案例：域名 s3cr3t.flag.com 可能解码为Flag。 TCP分段传输 方法：合并所有TCP流的Hex值，转换ASCII后提取关键字符串。 六、防御视角延伸 流量基线 ：建立正常流量模型（如DNS请求频率阈值）。 加密检测 ：识别TLS证书异常（自签名证书/过期证书）。 日志关联 ：结合NetFlow日志分析横向移动行为。 注：实际CTF中需关注题目描述中的协议提示（如“异常DNS请求”），优先针对性分析。