wireshark-attack.pcapng

竞赛任务书内容：

tcp.connection.syn and ip.src == 172.16.1.110     ip.src仅过滤源地址为指定地址的数据包

ftp contains "230"  ftp 服务   contains 赛选包含" " 中的内容

1.获取数据包attack.pcapng，将黑客扫描过的靶机端口号作为flag提交（例：80，443）；
    ip.src 是只过滤指定地址的数据包

用此查询方式就可以出现端口号 按照题目要求排序就可以了！

2.获取数据包attack.pcapng，分析黑客通过哪些服务着手攻击，将黑客暴力破解的服务名称及获取到的靶机密码作为flag提交（例：telnet,123456）

 ip.addr==172.16.102.6  查看所有关于172.16.102.6的数据包

tcp.port==21 筛选出tcp端口为21号端口的服务也就是ftp服务

 查看数据包的追踪流发现账号和密码，所以flag值为：vsftpd，aaaabc

3.获取数据包attack.pcapng，分析黑客通过什么攻击靶机，将获取到shell后执行的第一条命令的返回结果作为flag提交；

 ip.addr==172.16.102.6  查看所有关于172.16.102.6的数据包

contains函数是包含 

 查看数据流发现获取到shell后执行的第一条命令的返回结果为flag值：whoami root 

​​​​​​4.获取数据包attack.pcapng，分析黑客获取shell之后，查看了什么文件，将查看的文件名作为flag提交；

由上一题我们得知查看了ssh服务的配置文件，所以将此文件名作为flag值提交

 所以flag值为：sshd_config

5.获取数据包attack.pcapng，分析黑客获取了shell之后，倒数第二条命令代表了SSH协议的版本，将SSH协议版本作为flag提交；

所以flag值为：SSHv2 

本章节重点函数 contains （搜索数据包内含有指定字符串的过滤规则）很多数据分析的题目都会用到这个函数请大家牢记！！！

如果大家觉得好的话就点点赞吧！么么哒~~~~