CTFHub 流量分析技能树详解

1. ICMP 流量分析

1.1 ICMP-Data 分析

分析步骤：

1. 使用 Wireshark 打开 pcap 文件
2. 在过滤器中输入 icmp 过滤 ICMP 数据包
3. 观察 Data 字段内容
4. 按顺序查看数据包中的 Data 字段
   • 前6个数据包分别包含字母：c、t、f、h、u、b
   • 第7个数据包包含 "{"
5. 最后一个数据包的 Data 字段包含 flag 的剩余部分

技巧：

• 注意数据包传输顺序
• 观察 ASCII 字符的拼接规律
• 最后一个数据包通常包含结束符 "}"

示例 flag：
ctfhub{c87eb99796406ac0b}

1.2 ICMP-Length 分析

分析步骤：

1. 过滤 ICMP 数据包
2. 观察每个数据包的长度字段
3. 将长度值转换为 ASCII 字符
4. 拼接所有字符得到 flag

技巧：

• 使用 Wireshark 的 "Length" 列
• 注意长度值对应的 ASCII 码
• 可能需要排除某些干扰数据包

示例 flag：
ctfhub{acb659f023}

2. 数据库流量分析

2.1 MySQL 流量分析

分析步骤：

1. 使用 Wireshark 打开 pcap 文件
2. 过滤 MySQL 流量：mysql
3. 直接搜索 "ctfhub" 字符串
4. 定位包含该字符串的数据包
5. 查看数据包内容获取 flag

技巧：

• 使用 Wireshark 的搜索功能 (Ctrl+F)
• 注意查看协议详情中的文本内容
• 可能需要查看多个相关数据包

示例 flag：
ctfhub{mysql_is_S0_E4sy}

2.2 Redis 流量分析

分析步骤：

1. 打开 pcap 文件
2. 搜索 "ctfhub" 可能只能找到部分 flag
3. 按顺序查看数据包 (如从第66个开始)
4. 在第70个数据包中找到 flag 的另一半
5. 拼接两部分得到完整 flag

技巧：

• 注意 flag 可能被分割传输
• 按数据包编号顺序查看
• 可能需要组合多个数据包内容

示例 flag：
ctfhub{6051d6123de43dfad7609804925c0121}

2.3 MongoDB 流量分析

分析步骤：

1. 打开 pcap 文件
2. 方法一：直接搜索 "ctfhub" 字段
3. 方法二：将 "ctfhub" 转换为十六进制 (637466687562) 后搜索
4. 在第620个数据包中找到 flag

技巧：

• 了解常见协议的编码方式
• 使用在线编码转换工具
• 注意大端序和小端序的区别

示例 flag：
ctfhub{5f284ecc279d2cbd1af258bb53c7a5f6}

3. 通用流量分析技巧

1. 协议过滤：熟练使用 Wireshark 的显示过滤器

   • icmp, mysql, redis, mongodb 等

2. 字符串搜索：

   • 直接搜索 flag 格式 (如 "ctfhub{")
   • 搜索已知部分字符串
   • 尝试十六进制编码搜索

3. 数据包排序：

   • 按时间顺序查看
   • 按数据包编号顺序查看
   • 注意数据包之间的关联性

4. 编码识别：

   • ASCII 码
   • 十六进制编码
   • Base64 编码
   • 其他常见编码方式

5. 流量特征识别：

   • 注意异常长度的数据包
   • 观察重复出现的模式
   • 识别协议中的异常字段

4. 工具推荐

1. Wireshark：主流量分析工具

   • 过滤器语法
   • 追踪流功能
   • 协议解析功能

2. Tshark：命令行版 Wireshark

   • 批量处理 pcap 文件
   • 自动化分析脚本

3. 在线编码工具：

   • ASCII/Hex 转换
   • Base64 解码
   • 其他编码转换

4. Python 脚本：

   • 使用 scapy 库处理 pcap
   • 自动化提取数据
   • 批量分析工具

通过掌握这些流量分析技巧和方法，可以有效解决 CTF 比赛中的各类流量分析题目。