wireshark流量分析--巧观察
在CTF流量分析中,在流量包中可以隐藏好多东西,上面有篇文章说道在有大量流量包的情况下要善于运用过滤协议,来节省时间。但是,有些情况下,过滤是过滤不出东西的,比如在这道题目中我们运用过滤协议过滤不出东西,但是仔细观察,发现有流量特别大的包,这就显得很异常。追踪流发现:
504B0304是明显的ZIP的十六进制头,把这一段分离出来复制到winhex中,保存改后缀为zip,解压得到一个二维码,扫码得到flag。
此题突破口就是在流量包中发现数据过大的流量包,,根据这个可疑信息,追踪流发现里面包含着一个压缩包,进行分离。