BUUCTF:大流量分析(一)

最新推荐文章于 2025-10-15 16:30:36 发布
原创 最新推荐文章于 2025-10-15 16:30:36 发布 · 5.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文通过Wireshark工具分析了一系列流量包,发现IP地址183.129.152.140产生了大量数据包,疑似黑客攻击源。文章详细介绍了如何使用Wireshark的统计功能定位异常流量。

题目链接

https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89

解题过程

在这里插入图片描述
附件有很多不同时段的流量包,打开其中一个看看:

在这里插入图片描述
黑客攻击时会产生大量的数据包。利用wireshark统计工具分析一下:

  1. 统计-会话。发现183.129.152.140与内网IP建立会话的Packets较多。

在这里插入图片描述

  1. 统计-端点。同样发现183.129.152.140的包数最多。

在这里插入图片描述

  1. 统计-IPv4 Statistics-ALL Address。统计下IP,183
最低0.47元/天 解锁文章
流量分析)
Dug123456_的博客
05-10 1244
常规操作,查找flag ctfhub{} 注意要选择字符集。
[BUUCTF]大流量分析 writeup
ShenZ的博客
09-05 1492
重要的话写前面,不要靠近这个题,会变得不幸 没什么逻辑,感觉是大流量 恶心人的…也可能是我没看懂哦 [BUUCTF]大流量分析 某黑客对A公司发动了攻击,以下是段时间内我们获取到的流量包 1.黑客的攻击ip是多少? 2.黑客使用了哪个邮箱给员工发送了钓鱼邮件? 3.那黑客预留的后门的文件名是什么? 统计出现频率比较高的IP,这里不知道D和H的区别所以两个都看看 172.16.61.200 183.129.152.140 黑客IP 172.16.103.1 172.16.61.199 1.攻击IP 分
CTF-威胁检测与网络流量分析
最新发布
小司机的奥拓
10-15 862
ctf比赛中,流量包的取证分析是另项重要的考察方向,它涉及到对网络通信数据包的捕获,解析和分析。流量分析(trafficanalysis)是指通过对网络通信数据包的捕获和分析来获取有关通信双方的信息,包括但不限于数据传输的内容,通信的时间和频率等。在网络安全领域,流量分析通常用于检测异常活动,发现潜在的攻击行为以及分析网络通信模式。通常比赛中会提供个包含流量数据的pcap文件,有时候也会需要选手们先进行修复或重构传输文件后,再进行分析
BUUCTF——MISC(流量分析
m0_55854679的博客
07-25 6019
也可以使用关键词phpinfo(),仔细查看每个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上题的流量包,我们知道发送邮件的协议般为。在上上题中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,般是。我们首先尝试第眼看到的。,首先过滤下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
DDCTF2018 流量分析
pondzhang的专栏
10-14 1271
=E4=BD=A0=E5=A5=BD=EF=BC=8C=E8=AF=B7=E4=BD=A0=E5=B0=86=E5=AF=86=E9=92=A5=E5=AE=89=E8=A3=85=E5=88=B0=E6=9C=8D=E5=8A=A1=E5=99=A8=E4=B8=8A=E3=80=82=E8=B0=A2=E8=B0=A2 解码为“你好,请你将密钥安装到服务器上。谢谢” 获得privatekey为 -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQDCm6vZm
BUUCTF——大流量分析、二、三题
人若无名,便可专心练剑
05-14 2263
我们可以看到除了几个172开头的内网IP地址,就是183.129.152.140这个IP出现的频率最高了,所以我们怀疑这个就是攻击者的IP地址。题目说黑客攻击了A公司,那么进行攻击,且我们手上目前又有攻击留下的数据包,那么里面肯定有很多攻击IP与我们内网IP有交互的。如果是做题目嘛,那么我们就可以把这个地址直接提交,看看是不是正确的,但是真实的工作环境下,我们需要再进行确认下。某黑客对A公司发动了攻击,以下是段时间内我们获取到的流量包,那黑客预留的后门的文件名是什么?
大流量分析)-BUUCTF
BEGCCYD的博客
11-11 456
https://buuoj.cn/challenges#大流量分析) 随便打开个,直接搜索…/等攻击语句,定位到产生真实攻击的IP,得到183.129.152.140 flag为flag{183.129.152.140}
BUUCTF大流量分析
末初 · mochu7
12-02 1681
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89 下载这个就可以了数据采集D_eth0_NS_20160809_164452.pcap wireshark打开后,随便看下,发现除了私有地址,IP出现次数最多得就是:183.129.152.140 flag{183.129.152.140} ...
BUUCTF-流量分析2
2501_91013872的博客
05-21 207
分析多个pcap文件时,发现这些文件与邮件相关,涉及POP、SMTP和IMAP协议。通过追踪SMTP数据流,成功找到flag{xsser@live.cn}。此外,还可以在搜索SMTP时同时搜索“from”字段,以快速定位相关信息。这种方法有助于高效解析邮件协议数据,提取关键信息。
BUUCTF的wireshark流量分析题目writeup汇总
qq_49849300的博客
09-06 6723
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间顿爆破爆不出来,还是得找流量。要密码,爆破试下 5790。说明下载的是6666.jpg。
BUUCTF 大流量分析) 1
YueXuan_521的博客
05-05 1111
BUUCTF 大流量分析) 1 某黑客对A公司发动了攻击,以下是段时间内我们获取到的流量包,那黑客的攻击ip是多少?(答案加上flag{})附件链接: https://pan.baidu.com/s/1EgLI37y6m9btzwIWZYDL9g 提取码: 9jva 注意:得到的 flag 请包上 flag{} 提交。1、随便打开个,般黑客的攻击流量会很多,需要使用Wireshark统计功能。下载附件,有很多pcap流量包。的分组数,是除内网IP最多的。最后,确认黑客的攻击ip是。
BUUCTF流量分析
2301_76596810的博客
04-07 6560
CTFSHOW :(点击网址跳转)每道题都从以下模板讲解,并且每个步骤都有图片,清晰明了,便于复盘。
BUUCTF:[DDCTF2018]流量分析
末初 · mochu7
12-08 5665
https://buuoj.cn/challenges#[DDCTF2018]%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90 流量分析.pcap 流量分析.txt 流量分析 200pt 提示:若感觉在中间某个容易出错的步骤,若有需要检验是否正确时,可以比较MD5: 90c490781f9c320cd1ba671fcb112d1c 提示二:注意补齐私钥格式 -----BEGIN RSA PRIVATE KEY----- XXXXXXX -----END RSA PRIVAT
Buuctf easycap(流量分析
weixin_73822660的博客
05-08 815
以pcap结尾的文件我们就可以看到这是个流量分析的题目所以我们用来进行。我们可以看到该数据包全部为TCP,对该数据包进行数据流追踪得到flag。
CTF流量分析-题集4-【BUUCTF】Sqltest
m0_51198141的博客
12-04 1091
BUUCTF搜索即可盲注本身不算很难,但是如果这样去读取数据的话很容易导致数据的错误,之后会单独出期。有错误欢迎留言交流。
BUUCTF大流量分析(二)
wangjin7356的博客
01-16 908
题目链接 https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%BA%8C%EF%BC%89 解题过程 打开个流量包,过滤SMTP流量 选中53041好分组,在中间的“Simple Mail Transfer Protocol”处点击鼠标右键选择“显示分组字节” 找到发送的邮箱:xsser@live.cn flag{xsser@live.cn} ...
流量分析-CTF-BUUCTF-数据包中的线索
theenderofroot的博客
04-12 1105
直接看状态码为200的包,追踪TCP流,发现末尾的等号,初步确定是base64编码,确定目标。2、在官网下载zip文件,解压后使用wireshark打开,在显示过滤器中搜索http。3、由于这段base64编码的长度过长,试了几个解码器都解不出来,怀疑是要转图片。用猫捉鱼铃里的工具箱直接梭哈。
BUUCTF 大流量分析(三) 1
YueXuan_521的博客
05-12 824
BUUCTF 大流量分析(三) 1 本文介绍了在BUUCTF平台上的个CTF题目,要求通过分析流量包找出黑客预留的后门文件名。题目提供了系列pcap流量包,解题思路是通过搜索phpinfo()函数来定位后门文件。最终,在数据采集D_eth0_NS_20160809_172831.pcap流量包中发现执行phpinfo()的文件为admin.bak.php,确认其为黑客预留的后门文件。因此,答案为flag{admin.bak.php}。
网站大流量分析
布里渊区
12-31 461
查询访问量最高的页面 SELECT TOP 10 cs-uri-stem,count(cs-uri-stem) FROM ‘[LOGFILEPATH]’where date=’2016-07-01’group by cs-uri-stemorder by count(cs-uri-stem) descSELECT * FROM ‘[LOGFILEPATH]’where date=’2015-11
buuctf misc 大流量分析(二) 1
12-27
对于BUUCTF杂项类别中的大流量分析第二部分,通常涉及网络流量数据的深入解析和处理。虽然提供的材料主要集中在轨迹预测和插补上的模仿非自回归建模[^1],这与所需的信息不完全匹配,但从网络安全竞赛的角度出发,可以推测该题目可能涉及到对大量网络日志或抓包文件(如PCAP)的数据挖掘。 针对此类挑战的般方法论如下: ### 大规模流量数据分析 #### 数据预处理 大规模流量数据往往包含冗余信息,在开始任何具体的分析之前,应该先清理并提取有用的部分。此过程包括但不限于过滤无关协议、去除重复条目以及标准化时间戳等操作。 #### 特征工程 为了更好地理解通信模式,可以从原始流记录中派生出各种特征向量。这些指标能够帮助识别异常行为模式或是潜在的安全威胁。常见的做法是从会话持续时间、传输字节数等方面构建统计描述符。 #### 流量分类与聚类 利用机器学习算法来区分不同类型的网络活动是项关键技术。通过监督式训练模型可实现特定应用层协议的自动辨识;而无监督的方法则有助于发现未知但相似的行为群体。 #### 可视化展示 最后,借助图形工具直观呈现复杂的关系结构至关重要。有效的可视化不仅便于研究人员快速定位兴趣点,而且能辅助解释结果背后的意义。 ```python import pandas as pd from sklearn.cluster import KMeans from scapy.all import * def load_pcap(file_path): packets = rdpcap(file_path) df = pd.DataFrame(columns=['timestamp', 'src_ip', 'dst_ip', 'length']) for packet in packets: try: if IP in packet: row = { "timestamp": packet.time, "src_ip": packet[IP].src, "dst_ip": packet[IP].dst, "length": len(packet) } df = df.append(row, ignore_index=True) except Exception as e: pass return df dataframe = load_pcap('example.pcap') kmeans_model = KMeans(n_clusters=5).fit(dataframe[['length']]) labels = kmeans_model.labels_ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wangjin7356

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值