【无标题】

Wireshark 基础操作抓包文件打开与筛选：使用显示过滤器（如）快速定位目标流量；TCP 流追踪：「追踪流」功能可将同一会话的数据包按顺序重组，还原完整交互数据；数据解析：通过数据包详情栏，查看 IP 层、TCP 层、应用层的详细信息。TCP 协议交互原理序号（Seq）与确认号（Ack）：TCP 通过序号保证数据按序传输，Ack 表示已接收的数据长度，可用于重组分段数据；ACK 包特征：服务器

2501_93884883

377人浏览 · 2026-05-15 15:38:11

2501_93884883 · 2026-05-15 15:38:11 发布

任务 1：login1-0 攻击者 IP 识别

步骤 1：打开抓包文件

启动 Wireshark，打开login1.pcapng文件，主界面显示所有 TCP 流量包，包含源 IP（Source）、目的 IP（Destination）、协议（Protocol）、长度（Length）、信息（Info）等字段。

步骤 2：识别攻击者与目标通信

观察流量包的 IP 地址与端口交互：

目标服务器端口为444（服务端端口），客户端端口为53313（攻击者发起连接的临时端口）。
源 IP 为121.28.199.254的数据包，持续向目标 IP10.89.77.253的 444 端口发送数据（Len=1380），目标 IP 仅返回 ACK 确认包（Len=0）。
网络攻击中，主动发起连接、发送数据的客户端即为攻击者，因此攻击者 IP 为121.28.199.254。

验证：

筛选源 IP 为121.28.199.254的数据包，均为向服务器发送的 TCP 数据段，符合攻击者主动交互的特征，确认 IP 无误。

任务 2：login1-1 登录成功的密码提取

步骤 1：定位登录相关的 TCP 数据流

Wireshark 中，右键任意一个攻击者发送的数据包，选择「追踪流 → TCP 流」，查看完整的 TCP 会话数据。

步骤 2：重组 TCP 数据段

观察流量包的序号（Seq）与确认号（Ack）：

第 1 个包：Seq=1，Len=1380 → 数据范围1~1380
第 3 个包：Seq=1381，Len=1380 → 数据范围1381~2760
第 4 个包：Seq=2761，Len=1380 → 数据范围2761~4140
后续数据包以此类推，直到第 11 个包 Seq=8281，Len=1380，最终 Ack=11041，说明所有数据段均被服务器接收。

将所有数据段按顺序拼接，得到完整的客户端发送数据（即攻击者提交的登录数据）。

步骤 3：提取密码信息

在重组后的 TCP 流数据中，查找包含pass、password或登录相关的明文数据，通过文本分析定位到登录请求中的密码字段，提取出登录成功的密码。

任务 3：login1-3 题目 flag 获取

在完成 IP 识别、密码提取的基础上，结合题目背景，flag 通常是与登录请求、响应相关的特定字符串，或由密码 / IP 信息组合而成。

检查 TCP 流中服务器的响应数据，是否包含flag{...}格式的字符串；
若响应数据为加密 / 编码形式，尝试对数据进行 URL 解码、Base64 解码，还原出 flag 明文；
结合前两问的结果，验证 flag 格式，提交正确答案。

任务 4：login2 用户名与密码提取

解压附件1(1).zip，得到抓包文件，用 Wireshark 打开；
筛选 HTTP/TCP 流量，定位登录请求（如 POST 请求、包含login/auth关键字的数据包）；
查看请求体中的表单数据，提取username和password字段；
按题目要求格式用户名/密码整理结果，完成 flag 提交。

四、关键技术与知识点总结

Wireshark 基础操作
- 抓包文件打开与筛选：使用显示过滤器（如tcp.port == 444、ip.src == 121.28.199.254）快速定位目标流量；
- TCP 流追踪：「追踪流」功能可将同一会话的数据包按顺序重组，还原完整交互数据；
- 数据解析：通过数据包详情栏，查看 IP 层、TCP 层、应用层的详细信息。
TCP 协议交互原理
- 序号（Seq）与确认号（Ack）：TCP 通过序号保证数据按序传输，Ack 表示已接收的数据长度，可用于重组分段数据；
- ACK 包特征：服务器返回的 Len=0 的 ACK 包，仅用于确认数据接收，不携带业务数据。
CTF 流量分析解题思路
- 第一步：明确题目目标（IP、密码、flag），针对性筛选流量；
- 第二步：识别关键会话（如登录、认证相关的 TCP/HTTP 流）；
- 第三步：重组分段数据，还原明文交互；
- 第四步：解码、提取关键信息，验证格式并提交。

五、总结与体会

本次实训通过真实的 CTF 流量分析题目，将课堂上学到的 TCP/IP 协议知识与 Wireshark 工具操作结合，深入理解了网络数据传输的过程。解题过程中，从识别攻击者 IP，到重组 TCP 流提取密码，再到解码获取 flag，逐步掌握了流量分析的核心方法，也认识到网络交互中明文传输数据的安全风险 —— 攻击者可通过抓包直接获取敏感信息，因此实际应用中应采用加密传输（如 HTTPS）保护登录凭证。

同时，也体会到流量分析的逻辑性与条理性：只有理清数据包的交互顺序、理解协议字段的含义，才能快速定位关键数据。后续将继续深入学习加密流量分析、恶意流量识别等进阶内容，提升网络安全分析能力。

openEuler 社区

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目，面向数字基础设施四大核心场景（服务器、云计算、边缘计算、嵌入式），全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐

大模型入门-大模型分布式训练1

openEuler 社区

【控制篇】斩断无休止空转：4-bit 指令集里的跳转律令与时序状态机

openEuler 社区

质数的庖丁解牛

维度关键点数学本质乘法原子、唯一分解、无穷且稀疏密码学RSA/DH/ECC 的安全基石，依赖分解/离散对数难题数据结构哈希表取模减少碰撞，OPcache 容量优化算法Miller-Rabin (判定)、埃氏筛/欧拉筛 (生成)、GMP (大数)工程原则不自研密码级质数、善用标准库、理解概率性与确定性的工程等价PHP 隐喻公式终极心法质数的本质，是“简单的不可逆”。乘起来容易，拆回去难。这种不对称，