Wireshark抓包实战：3个CTF选手必学的数据包过滤技巧（附真实案例）

Wireshark抓包实战：3个CTF选手必学的数据包过滤技巧（附真实案例）

在CTF竞赛的流量分析环节中，面对海量数据包时如何快速定位关键信息，是区分新手与高手的重要标志。本文将分享三种经过实战检验的Wireshark过滤技巧，结合真实赛题场景，帮助你在有限时间内精准捕获flag。

1. 基于IP/端口的定向狙击技术

核心价值：当流量包中存在明确攻击源或目标时，IP/端口过滤能快速隔离关键会话。不同于基础筛选，高阶用法需要结合会话统计与协议分析。

实战案例：某次比赛中，我们获得一个包含内网渗透流量的pcap文件，题目提示flag存在于攻击者与Web服务器的交互中。

操作步骤：

1. 首先统计会话信息：

   Statistics -> Conversations -> IPv4
   

   按数据包数量排序，发现192.168.1.100与10.0.2.15的通信量异常突出

2. 构建复合过滤表达式：

   (ip.src == 192.168.1.100 && ip.dst == 10.0.2.15) || (ip.src == 10.0.2.15 && ip.dst == 192.168.1.100)
   

3. 进一步聚焦HTTP流量：

   tcp.port == 80 && http.request.method == "POST"
   

   发现攻击者通过/upload.php上传文件的请求

高级技巧：

• 使用tcp.portrange == 8000-9000