0x00 已知條件
有人在內(nèi)網(wǎng)發(fā)起了大量掃描,而且掃描次數(shù)不止一次,請你從capture日志分析一下對方第4次發(fā)起掃描時(shí)什么時(shí)候開始的沟于,請?zhí)峤荒惆l(fā)現(xiàn)包編號的sha256值(小寫)噪窘。
Hint1: 請?zhí)峤籔CTF{包編號的sha256}
解壓出來是一個(gè).log文件吏廉,依然是流量分析泞遗,Wireshark。
0x01 思考過程
打開發(fā)現(xiàn)情況如下圖席覆,ping過目標(biāo)(IP 192.168.0.99)后史辙,開始對不同的端口不斷進(jìn)行TCP SYN掃描。
image.png
一開始以為對不同端口算作一次娜睛,找了9號做sha256加密提交髓霞,失敗畦戒;算上ping方库,7號,加密提交障斋,失敗纵潦。
-
因此認(rèn)為對一臺主機(jī)的所有端口掃描都算作一次。按照掃描一般規(guī)律垃环,過濾出ICMP包(ping)邀层,如下圖。
image.png
發(fā)現(xiàn)192.168.0.9 ping過3次遂庄,下面的三個(gè)不同源IP的ping都沒有回應(yīng)寥院。于是將“第四次”(192.168.0.9的三次,192.168.0.1的一次)的編號155987加密提交涛目,依然失敗秸谢。
那么多半只能是按不同源IP算次數(shù)了。192.168.0.9的三次算一次霹肝,192.168.0.1和192.168.0.254的兩次估蹄,那么第四次就是192.168.0.199了。它對應(yīng)的編號為155989沫换,加密提交臭蚁,通過。