BUUCTF:大流量分析(一)
题目链接
https://buuoj.cn/challenges#%E5%A4%A7%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89
解题过程
附件有很多不同时段的流量包,打开其中一个看看:
黑客攻击时会产生大量的数据包。利用wireshark统计工具分析一下:
- 统计-会话。发现183.129.152.140与内网IP建立会话的Packets较多。
- 统计-端点。同样发现183.129.152.140的包数最多。
- 统计-IPv4 Statistics-ALL Address。统计下IP,183.129.152.140的数量最多。
所以,183.129.152.140应该就是黑客的IP。分析其它数据包也印证了这个结果。
flag{
183.129.152.140}
小结
1.wireshark工具的使用,特别是统计功能。 2.黑客攻击时会产生大量的流量,根据流量的大小、包的数量来判定是否为异常流量以及攻击者的IP。
