新手也能看懂的Wireshark实战：从一道CTF题手把手教你分析FTP和HTTP攻击流量

Wireshark实战指南：从零解密FTP与HTTP攻击流量

第一次打开Wireshark时，满屏跳动的数据包就像天书般令人望而生畏。但别担心，今天我们就用一次真实的网络攻击案例，手把手带你掌握流量分析的核心技能。无论你是刚入门的安全爱好者，还是想提升实战能力的IT从业者，这篇文章都会让你收获满满。

1. 准备工作与环境搭建

在开始分析之前，我们需要做好以下准备：

• Wireshark安装：前往官网下载最新版本(目前3.6.5)，安装时记得勾选所有组件
• 样本文件：使用提供的CTF题目pcap文件作为练习素材
• 基础网络知识：了解TCP/IP协议栈和HTTP/FTP基本工作原理

提示：分析网络流量时，建议使用至少1920x1080分辨率的显示器，Wireshark界面元素较多，足够的屏幕空间能显著提升工作效率。

配置Wireshark首选项的几个关键点：

1. 进入Edit → Preferences 2. 在Appearance → Columns中添加"Delta time"列 3. 在Protocols → TCP中启用"Allow subdissector to reassemble TCP streams" 4. 设置Time Display Format为"Seconds Since Beginning of Capture"

2. FTP流量分析实战

FTP(文件传输协议)是攻击者常用的数据外传通道。让我们看看如何从海量数据中揪出FTP的蛛丝马迹。

2.1 快速定位FTP会话

在Wireshark过滤栏输入：

ftp || ftp-data

这个过滤条件会显示所有FTP控制命令和数据传输。如果发现大量220(服务就绪)、331(需要密码)和230(登录成功)状态码，就说明存在活跃的FTP会话。

2.2 提取登录凭证

找到USER命令后，右键选择"Follow → TCP Stream"，你会看到类似这样的对话：

220 FTP Server ready USER admin 331 Password required for admin PASS Root123 230 User admin logged in

关键技巧：在TCP流窗口右上角，将显示格式改为"ASCII"，这样特殊字符会更清晰。如果发现乱码，可以尝试切换UTF-8或GBK编码。

2.3 分析文件传输

攻击者常通过FTP上传恶意文件。过滤ftp-data可以查看传输内容：

ftp-data and ip.src == 攻击者IP

右键可疑数据包 → "Follow → TCP Stream"，注意观察.php、.exe等可疑文件扩展名。在本次案例中，我们发现了一个shell.php的上传行为。

3. HTTP流量深度解析

Web应用是攻击的高频目标，HTTP流量中往往藏着重要线索。

3.1 基础过滤技巧

使用以下过滤器快速定位关键请求：

http.request.method == "POST" && http contains "login"

这个组合条件能捕捉到所有包含"login"字符串的POST请求，非常适合查找认证尝试。

3.2 识别可疑请求

以下几个特征可能表明恶意活动：

1. 异常长的URL参数
2. 大量base64编码数据
3. 非常规的HTTP方法(如PUT)
4. 对.php文件的直接访问

在本次案例中，我们发现攻击者向/file.php发送了包含加密参数的POST请求：

POST /file.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 342 data=VTJGc2RHVmtYMTlzWldG...

3.3 解密Web流量

对于加密的HTTP数据，可以尝试以下方法：

1. 在TCP流中查找明显的base64字符串
2. 使用Wireshark的"Export Objects → HTTP"功能提取文件
3. 对参数值进行URL解码：

from urllib.parse import unquote print(unquote("VTJGc2RHVmtYMTlzWldG..."))

4. 高级分析技巧

掌握了基础技能后，让我们看看一些提升效率的高级方法。

4.1 统计分析方法

使用Wireshark的统计功能能快速发现异常：

1. "Statistics → Protocol Hierarchy"查看协议分布
2. "Statistics → Conversations"找出最活跃的通信对
3. "Statistics → HTTP → Requests"分析热门URL

4.2 自定义着色规则

为特定流量创建着色规则可以快速定位威胁：

1. 可疑IP通信 → 红色背景
2. FTP流量 → 蓝色文字
3. HTTP错误响应 → 黄色背景
4. DNS查询 → 绿色文字

设置路径：View → Coloring Rules → New

4.3 使用tshark命令行工具

对于大型pcap文件，tshark更高效：

tshark -r attack.pcap -Y "http.request.method==POST" -T fields -e http.host -e http.request.uri

这个命令会提取所有POST请求的域名和URI，非常适合批量分析。

5. 实战案例复盘

让我们把学到的技巧应用到整个攻击链分析中：

1. 初始入侵：攻击者通过FTP弱密码(admin/Root123)获得访问权限
2. 横向移动：上传webshell(shell.php)到web目录
3. 命令执行：通过HTTP POST向shell.php发送加密指令
4. 数据外传：窃取服务器信息(主机名win-935bicnffvk)

整个攻击过程在Wireshark中清晰可见，关键证据都藏在TCP流和HTTP请求里。通过这次分析，我深刻体会到网络流量就像数字世界的监控录像，记录着攻击者的每一个动作。