一、什么是网络协议分析网络协议分析就是对网络传输过程中捕获的流量数据包通常是 .pcap 或 .pcapng 文件进行查看、筛选、追踪和解码从中找到关键信息。在 CTF 中这类题目通常会给一个抓包文件我们的任务就是打开文件 → 筛选协议 → 追踪流 → 找到 flag。二、本周学习的工具Wireshark这一周我主要使用 Wireshark 进行学习。它是最常用的网络抓包与分析工具界面清晰、功能强大。学习过程中我掌握了• 打开 pcap 流量包• 使用协议过滤器http、tcp、udp、dns、icmp 等• 搜索关键词flag、password、user 等• 追踪 TCP/UDP/HTTP 数据流• 查看数据包原始内容三、典型协议分析示例下面是我这一周练习的几种典型题型都配有图片示例说明方便理解。1. HTTP 协议明文传输示例打开流量包后在过滤器输入可以看到所有 HTTP 请求包。图片描述界面上方是数据包列表中间是协议解析区下方是原始数据区。在一个 HTTP GET 请求中可以直接看到 URL 里包含 flag 字样或者 POST 数据里有用户名密码明文。通过右键 → 追踪 HTTP 流可以看到完整的请求内容flag 直接出现在页面内容里。2. TCP 流中隐藏 flag 示例过滤器图片描述在大量 TCP 数据包中找到长度明显较大的包。右键 → 追踪 TCP 流会弹出一个窗口里面显示完整的传输内容。我在练习中遇到过 flag 直接藏在 TCP 流文本里也遇到过是 Base64 编码解码后得到明文 flag。3. DNS 协议分片传递信息过滤器dns图片描述界面会显示一系列 DNS 查询请求。每个查询的域名中包含一段字符例如把这些字符按顺序拼接就能得到 flag{...}。4. ICMPPing 包隐写过滤器icmp图片描述选中一个 ICMP 包在协议解析区展开“数据”部分可以看到十六进制数据。将这些 hex 内容转为字符串就能看到隐藏的信息。四、总结的解题流程1. 用 Wireshark 打开 pcapng 文件2. 搜索关键词flag、password、admin3. 按协议过滤http、dns、icmp、tcp4. 追踪数据流查看完整内容5. 对编码内容进行解码Base64、16进制等6. 得到最终 flag五、学习收获• 理解了常见网络协议的基本工作方式• 熟练使用 Wireshark 进行流量分析• 能独立完成入门级 CTF 流量题• 知道了数据在网络中是如何被传输和捕获的