7.13刷題記錄（流量取證）

今天刷了‘工控安全取證’ ，題目描述：有黑客入侵工控設備後在內網發起了大量掃描，並且掃描次數不止一次。 請分析日誌，指出對方第4次發起掃描時的數據包的編號，flag形式爲 flag{}
首先獲得一個log文件，打開看了下亂碼，結合他讓找出數據包的編號，改爲.pcap的後綴

而後wireshark成功打開。接着咱們看到一堆的請求tcp，icmp。而後箭頭這就是要找到編號的那一列

而後根據常規的掃描，基本就是icmp協議了。因此簡單粗暴的直接篩選icmp。而後這個滾輪看着就少多了，也就十幾條，隨便試個10次其實答案就出來了。

爲了更簡單的定位到flag的編號，嘿嘿，咱們來用時間來判斷。

根據不一樣的ip網段，從下往上，來分辨出最後的ip達到的編號。即最終的flag

不曉得爲啥子，感受個人思考和出題獅虎的想法不同。。可能個人腦殼開光了吧。。

簡單的流量分析
描述：不久前，運維人員在平常安全檢查的時候發現現場某設備會不時向某不知名ip發出非正常的ICMP PING包。這引發了運維人員的注意，他在過濾出ICMP包分析並立刻開始作應急處理極可能已被攻擊的設備。運維人員到底發現了什麼?flag形式爲 flag{}

都是icmp，因此前面寫的文章裏的方法就不能用了

仔細觀察，這裏面啥密碼都不是也沒明顯標誌，更沒有傳說中的=號//否則聯合起來能湊一桌麻將？？咳咳因此不是拼接。

仔細觀察，也沒有什麼隱寫手法，因此下面的都廢了。。

而後裏面的length大量的重複，因此確定不是它。
而後思考到數據包的長度，是變化的，因此寫個腳本，取出數據包的長度，而後看出來是ascii碼，解碼，以後是base64解密。出flag