以下內(nèi)容主要是引用自合天網(wǎng)安中的一個(gè)實(shí)驗(yàn)案例：***A通過(guò)ARP欺騙，使用Wireshark獲取了整個(gè)局域網(wǎng)內(nèi)的網(wǎng)絡(luò)流量信息。無(wú)意之中，他發(fā)現(xiàn)有人在某個(gè)網(wǎng)站上上傳了一份文件。但是他不知道怎么樣通過(guò)Wireshark去還原這份文件，沒(méi)辦法，他將監(jiān)聽(tīng)到的數(shù)據(jù)包保存為了一份Wireshark的監(jiān)聽(tīng)記錄，打算去向你請(qǐng)教。你能幫助他找到那份上傳的文件嗎？

創(chuàng)新互聯(lián)建站專(zhuān)注于企業(yè)全網(wǎng)營(yíng)銷(xiāo)推廣、網(wǎng)站重做改版、紅橋網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5建站、商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性?xún)r(jià)比高，為紅橋等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。

我們可以自己準(zhǔn)備一張圖片test.jpg，并隨便找一個(gè)允許上傳的網(wǎng)站，然后用Wireshark將上傳的過(guò)程抓包，這里我已經(jīng)將自己的抓包結(jié)果保存成文件catchme.pcapng，并在附件里提供下載。

打開(kāi)抓包文件之后，會(huì)發(fā)現(xiàn)數(shù)據(jù)記錄一共有344條。如果單純的從開(kāi)始到結(jié)尾去一條一條的審計(jì)，是非常費(fèi)力的事情。

這里我們使用顯示過(guò)濾器進(jìn)行過(guò)濾，由于上傳文件采用的是HTTP協(xié)議，因而使用過(guò)濾規(guī)則“http”，過(guò)濾之后發(fā)現(xiàn)數(shù)據(jù)包由原來(lái)的344個(gè)變成了137個(gè)，這樣就很容易幫我們分析了。仔細(xì)分析，我們會(huì)在第209條數(shù)據(jù)包的info中看到upload這個(gè)詞，我們懷疑這條就是涉及到上傳的數(shù)據(jù)包。

由于上傳文件都是采用POST方法，因而我們也可以使用過(guò)濾規(guī)則“http.request.method==POST”進(jìn)行更精確的過(guò)濾，這時(shí)就只有47個(gè)數(shù)據(jù)包了。因而掌握數(shù)據(jù)包過(guò)濾，是熟練掌握Wireshark的必備技能之一。

雖然我們看到了有upload關(guān)鍵字，有POST方法，但是我們不能確定是不是真的就是上傳文件的那個(gè)請(qǐng)求。雙擊第209號(hào)數(shù)據(jù)包進(jìn)行專(zhuān)門(mén)分析，在應(yīng)用層數(shù)據(jù)中可以看到確實(shí)是上傳了文件，而且文件名是test.jpg。

在傳輸層部分可以看到，由于文件比較大，TCP協(xié)議將其分成了16個(gè)數(shù)據(jù)段Segment，每個(gè)數(shù)據(jù)段都是一個(gè)獨(dú)立的數(shù)據(jù)包，點(diǎn)擊各個(gè)Frame，就可以看到數(shù)據(jù)包中的內(nèi)容。

但問(wèn)題是每個(gè)數(shù)據(jù)包中都只包含了上傳文件的一部分，要想還原上傳的文件，就必須將這些被分片的數(shù)據(jù)包重新組合成一個(gè)整體。在Wireshark中提供了一項(xiàng)“數(shù)據(jù)流追蹤”功能，就可以來(lái)完成這項(xiàng)任務(wù)。

回到Wireshark的主界面，在209號(hào)數(shù)據(jù)包上點(diǎn)擊右鍵，選擇“追蹤流/TCP流”，

這時(shí)整個(gè)TCP流就會(huì)在一個(gè)單獨(dú)的窗口中顯示出來(lái)，我們注意到這個(gè)窗口中的文件以?xún)煞N顏色顯示，其中紅色用來(lái)標(biāo)明從源地址前往目的地址的流量，而藍(lán)色用來(lái)區(qū)分出相反方向也就是從目的地址到源地址的流量。這里顏色的標(biāo)記以哪方先開(kāi)始通信為準(zhǔn)，一般情況下都是由客戶(hù)端主動(dòng)發(fā)起與服務(wù)器的連接，所以大都是將客戶(hù)端的通信顯示為紅色。

由于上傳的文件都是在客戶(hù)端發(fā)出的數(shù)據(jù)部分提交的，因而我們可以過(guò)濾掉服務(wù)器發(fā)回的響應(yīng)信息。在下方的數(shù)據(jù)流向中選擇從客戶(hù)端到服務(wù)器的流向，這時(shí)候就沒(méi)有響應(yīng)部分出現(xiàn)了。

將數(shù)據(jù)流保存成原始文件，以便下一步處理。需要注意的是，在保存之前一定要將數(shù)據(jù)的顯示格式設(shè)置為“原始數(shù)據(jù)”。

這里將文件的擴(kuò)展名指定為.bin，以使用二進(jìn)制形式保存文件。

在下篇博文中我們將利用WinHex從這個(gè)原始文件中將上傳的圖片還原出來(lái)。

附件：http://down.51cto.com/data/2367336

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞名稱(chēng)：Wireshark系列之6數(shù)據(jù)流追蹤-創(chuàng)新互聯(lián)
分享網(wǎng)址：http://weahome.cn/article/doedph.html