CTF竞赛利器：Wireshark网络流量分析完全指南，小白也能轻松掌握，值得收藏

文章详细介绍了Wireshark在CTF竞赛中的20种实用技巧，包括捕获与显示过滤器、关键字搜索、HTTP/DNS/ICMP协议分析、TCP/UDP流追踪、数据解码及多种辅助工具应用。这些技巧帮助参赛者从复杂网络流量中快速定位关键信息，提取敏感数据，还原通信过程，有效解决各类CTF题目，是网络安全学习的实战指南。

---

在 CTF竞赛中，Wireshark 堪称一把利刃，助力选手在网络流量的 “迷宫” 里找到关键线索，成功解题。它是一款开源且功能强大的网络协议分析工具，能深入剖析网络数据包，展示其中错综复杂的细节。从基础的 TCP/IP 协议检查，到对 HTTP 请求的细致解读，再到 DNS 流量的深度分析，Wireshark 都能出色胜任，提供全面且精准的信息。CTF 赛题中，常常会出现需要从网络流量中提取敏感信息、还原通信过程、挖掘隐藏数据等任务，Wireshark 就是完成这些任务的得力助手。

技巧 1 - 巧用捕获过滤器

（1）捕获过滤器基础语法

捕获过滤器就像是一个 “数据筛子”，在抓包开始前限制抓取数据包，基于 BPF（Berkeley Packet Filter）语法，能帮我们在海量数据中快速定位所需信息，节省时间和性能。其基本语法结构基于简洁的关键词和运算符，形式类似：<表达式> [and|or|not <表达式>] ...。

• • 基于 IP 地址过滤：

• • host ``192.168.1.1 ：捕获与 IP 地址 192.168.1.1 相关的所有数据包，无论是源 IP 还是目的 IP。
• • src host ``192.168.1.1 ：仅捕获源 IP 为 192.168.1.1 的数据包。
• • dst host ``192.168.1.1 ：仅捕获目的 IP 为 192.168.1.1 的数据包。

• • 基于端口过滤：

• • port 80：捕获端口为 80 的所有数据包，常用于 HTTP 流量捕获。
• • src port 443：捕获源端口为 443 的数据包，通常用于 HTTPS 流量。
• • dst port 443：捕获目的端口为 443 的数据包，同样适用于 HTTPS 流量。

• • 基于协议过滤：

• • tcp：只捕获 TCP 协议的数据包，TCP 协议常用于可靠的数据流传输，如 HTTP、HTTPS、SMTP 等应用层协议常基于 TCP。
• • udp：只捕获 UDP 协议的数据包，UDP 常用于对实时性要求高、对数据准确性要求相对较低的场景，如 DNS 查询、视频流传输等。
• • icmp：只捕获 ICMP 协议的数据包，ICMP 常用于网络诊断，如 Ping 命令就是基于 ICMP 协议。

• • 组合条件过滤：可以使用逻辑运算符and（且）、or（或）、not（非）来组合多个条件。例如，src host ``192.168.1.1`` and dst port 80 表示捕获源 IP 是 192.168.1.1 且目的端口为 80 的 TCP 流量 ，常用于定位特定主机的 HTTP 请求；udp or icmp表示抓取所有 UDP 包或 ICMP 包，可用于分析网络中的即时通信和诊断信息；not arp表示排除 ARP 包，ARP 用于 IP 地址到 MAC 地址的解析，在某些分析场景中可能不需要这类数据包。

（2）CTF 解题场景与思路

在 CTF 比赛中，给定一个包含大量网络流量的 pcap 文件，要求找出与特定 IP 范围（如 192.168.1.0/24）相关的数据包，从中提取敏感信息或分析攻击行为。由于文件中数据包众多，直接分析犹如大海捞针。这时捕获过滤器就能派上用场，使用net ``192.168.1.0/24 作为捕获过滤器条件，这样在开始抓包时，Wireshark 就只会捕获来自 192.168

技巧 2 - 显示过滤器进阶用法

（1）复合表达式构建

显示过滤器是 Wireshark 的强大功能之一，它能在已捕获的数据包中筛选出特定信息，与捕获过滤器不同，显示过滤器是在数据包捕获完成后进行筛选。构建复合表达式时，逻辑运算符&&（与）、||（或）、!（非）起着关键作用。

比如，要筛选出源 IP 为 192.168.1.100 且目的端口为 80 的 TCP 数据包，可使用表达式ip.src == ``192.168.1.100`` && tcp.dstport == 80 。这里&&表示两个条件需同时满足，即只有源 IP 是 192.168.1.100 并且目的端口为 80 的 TCP 数据包才会被筛选出来，常用于分析特定主机的 HTTP 请求情况。

若要筛选出源 IP 为 192.168.1.100 或者目的 IP 为 192.168.1.200 的 UDP 数据包，表达式为ip.src == ``192.168.1.100`` || ip.dst == ``192.168.1.200`` && udp ，||表示只要满足其中一个条件即可，适用于查找与特定 IP 相关的 UDP 通信。

如果想排除 ICMP 协议的数据包，表达式为!icmp ，!表示对条件取反，即不显示 ICMP 协议的数据包，有助于专注分析其他协议流量。

（2）CTF 解题场景与思路

在 CTF 比赛中，给定一个包含大量 HTTP 流量的 pcap 文件，要求找出特定用户通过 GET 请求提交的敏感信息，如用户名和密码。文件中 HTTP 流量繁杂，有各种请求和响应，直接查找困难重重。

此时，利用显示过滤器的复合表达式可以快速定位目标。首先，使用http.request.method == "GET"筛选出所有 HTTP GET 请求数据包，初步缩小范围。接着，若已知提交敏感信息的页面路径为/login.php ，则可进一步使用复合表达式http.request.method == "GET" && http.request.uri contains "/login.php" ，精准定位到对/login.php页面的 GET 请求数据包。在这些数据包中，通过查看请求参数，就能找到用户提交的敏感信息，成功完成解题任务。

技巧 3 - 快速搜索关键字

（1）搜索功能操作

在 Wireshark 中，快速搜索关键字是定位关键信息的便捷方式。使用快捷键 Ctrl+F，就能迅速调出搜索框。在搜索框中，我们可以输入想要查找的关键字，如特定的字符串、IP 地址、端口号等。搜索模式有多种选择，包括 “字符串”“十六进制值”“正则表达式” 。“字符串” 模式适合直接查找文本内容；“十六进制值” 用于搜索数据包中的十六进制数据，在处理一些二进制数据相关的分析时很有用；“正则表达式” 则为复杂的文本匹配提供了强大的工具，可根据特定规则查找符合条件的数据。比如要查找包含特定字符串 “sensitive_data” 的数据包，在搜索框输入该字符串，选择 “字符串” 模式，点击 “查找下一个”，Wireshark 就会在数据包中按顺序查找并定位到相关内容。

（2）CTF 解题场景与思路

在 CTF 比赛里，常常会遇到一个包含海量数据包的 pcap 文件，要在其中找到关键信息，如 flag。此时，利用 Wireshark 的搜索功能，直接搜索 “flag” 关键字，是快速定位可能包含 flag 数据包的有效方法。若题目中还提示了一些与 flag 相关的线索，如特定的格式（flag {xxxx}）或者可能包含的其他字符串，将这些信息组合起来作为关键字搜索，能进一步提高搜索的精准度。例如，已知 flag 可能与 “secret_message” 有关，那么在搜索框输入 “flag && secret_message” ，这样就能在众多数据包中快速筛选出同时包含这两个关键信息的数据包，极大地缩小了查找范围，提高解题效率，让我们更接近找到 flag 的目标。

技巧 4 - 解析 HTTP 协议

（1）HTTP 关键信息查看

HTTP 协议在网络通信中应用广泛，在 Wireshark 中解析 HTTP 协议，能获取众多关键信息。

通过 Wireshark 打开包含 HTTP 流量的数据包后，在数据包列表中选中 HTTP 请求对应的数据包，在中间的数据包详情面板展开 “Hypertext Transfer Protocol” 部分，就能查看详细信息。请求方法常见的有 GET、POST、PUT、DELETE 等 ，如 GET 方法用于获取资源，POST 常用于向服务器提交数据。URL 路径则清晰显示请求的资源位置，例如 “/index.php”“/api/user” ，明确了请求的具体目标。

对于表单数据，如果是 POST 请求，表单数据通常在 “Form item” 下，以 “key=value” 的形式呈现，如 “username=test&password=123456” ，方便查看用户提交的信息。而 Cookie 信息一般在 “Cookie” 字段中，包含了用户的会话信息、登录状态等，如 “session_id=abcdef123456” ，对分析用户的操作流程和身份验证很有帮助。

（2）CTF 解题场景与思路

在 CTF 比赛的 HTTP 流量分析题中，题目可能会给出一个包含 HTTP 流量的 pcap 文件，要求从中找出 flag。首先，使用 Wireshark 打开文件，利用显示过滤器 “http” 筛选出所有 HTTP 流量，快速定位到与 HTTP 相关的数据包。接着，观察 HTTP 请求和响应，查找异常或特殊的请求。比如，若发现一个对特定路径（如 “/flag.php”）的 GET 请求，这可能是关键线索。查看该请求的响应，若状态码为 200 且响应内容中包含疑似 flag 的格式（如 flag {xxxx}），即可找到答案。

有时，flag 可能隐藏在表单数据中，通过查找 POST 请求的表单数据，仔细检查其中的字段值，也许就能发现 flag。还有些情况，flag 会藏在 Cookie 里，通过分析 Cookie 的内容，结合题目提示和已知信息，找到包含 flag 的 Cookie 值，从而成功解题。

技巧 5 - 分析 DNS 流量

（1）DNS 异常分析

DNS（Domain Name System）是互联网的关键服务，负责将域名解析为 IP 地址。在 Wireshark 中分析 DNS 流量时，有几个关键的异常点需要关注。

首先，留意异常长的域名或子域名。正常的域名长度通常较为合理，若出现超长域名，可能是数据隐藏或异常行为的信号。例如，一般的域名可能在十几到几十个字符，但如果发现一个长达几百个字符的域名，就需要深入探究，它或许是通过特殊编码将数据隐藏在其中。

其次，仔细检查查询和响应字段中的数据。在 DNS 查询中，查询类型（如 A 记录、AAAA 记录、MX 记录等）和查询域名都应符合正常的业务逻辑。如果出现不常见的查询类型组合，或者查询的域名与正常业务毫无关联，就可能存在问题。比如，在一个以 Web 服务为主的网络中，突然出现大量对某个陌生域名的 NS（名称服务器）记录查询，这就需要进一步分析，可能是有人在尝试获取该域名的权威服务器信息，存在潜在的攻击或数据窃取行为。

在 DNS 响应中，关注响应码、生存时间（TTL）以及答案部分。异常的响应码（如非 0 的错误码）可能表示域名解析出现问题，或者是攻击者故意构造错误响应来混淆视听。TTL 值异常短或长也值得注意，过短的 TTL 可能导致频繁的解析请求，影响网络性能；过长的 TTL 则可能是为了长期维持某种非法的解析设置。而答案部分若包含异常的 IP 地址（如私有 IP 出现在公网解析中，或者 IP 地址与域名所属的正常范围不符），很可能是 DNS 被劫持或存在恶意的解析重定向。

（2）CTF 解题场景与思路

在 CTF 比赛中，假设给定一个包含大量网络流量的 pcap 文件，场景设定为数据外泄场景，要求找出其中隐藏的 flag。

首先，使用 Wireshark 打开文件，通过显示过滤器 “dns” 筛选出所有 DNS 流量，将注意力集中在 DNS 相关的数据包上。接着，观察 DNS 查询和响应，查找异常长的域名。发现一些超长的域名，对这些域名进行分析，发现它们似乎是经过某种编码的。将这些域名提取出来，使用常见的编码方式（如 Base64、十六进制等）进行解码尝试。

经过多次尝试，发现使用 Base64 解码后得到了一些有意义的字符串，其中包含疑似 flag 的部分内容。继续分析 DNS 流量，注意到某些查询和响应的时间间隔有规律，结合之前解码得到的部分内容，推测 flag 可能被分段隐藏在不同的 DNS 查询域名中。按照时间顺序，将解码后的字符串进行拼接，最终成功得到完整的 flag，完成解题任务。

技巧 6 - 追踪 TCP 流

（1）追踪操作步骤

在 Wireshark 中，追踪 TCP 流是一项非常实用的功能，能帮助我们快速梳理 TCP 连接中数据传输的全过程。操作步骤十分简单，首先在数据包列表中找到属于目标 TCP 连接的任意一个数据包，右键点击该数据包，在弹出的菜单中选择 “追踪流”，然后再选择 “TCP 流” 。这时，Wireshark 会将该 TCP 连接中所有相关的数据包按照时间顺序进行整理，并以一种易于阅读的方式展示出来。在展示的 TCP 流窗口中，数据以文本形式呈现，不同方向的数据（从源到目的和从目的到源）会用不同的颜色区分，方便我们直观地了解数据的流向和交互过程。

（2）CTF 解题场景与思路

在 CTF 比赛中，经常会遇到需要还原 TCP 协议传输完整数据的场景。比如，给定一个包含网络流量的 pcap 文件，其中存在一段通过 TCP 协议进行聊天通信的记录，要求找出隐藏在聊天记录中的 flag。由于数据包众多且顺序可能杂乱，直接从原始数据包中找到完整的聊天内容并提取 flag 难度较大。

此时，利用 Wireshark 的追踪 TCP 流功能，我们可以快速将所有与该 TCP 连接相关的数据包整合起来，还原出完整的聊天记录。在追踪出的 TCP 流中，通过搜索 “flag” 关键字或者根据聊天内容的逻辑线索，就能更容易地找到包含 flag 的信息，从而成功解题。这种方法在分析 TCP 协议传输的文件内容、命令执行结果等场景中同样适用，能帮助我们从复杂的网络流量中精准定位关键信息 。

技巧 7 - 追踪 UDP 流

（1）UDP 追踪特点

UDP（User Datagram Protocol）与 TCP（Transmission Control Protocol）同属传输层协议，但二者有着显著差异。TCP 是面向连接的可靠传输协议，通过三次握手建立连接，在数据传输过程中，利用序列号、确认应答和重传机制确保数据的完整性与有序性，如同一位严谨的快递员，确保包裹准确无误且按顺序送达。而 UDP 是无连接的不可靠传输协议，它不保证数据一定能送达目的地，也不保证数据的顺序，就像邮寄明信片，可能会丢失或顺序错乱，但胜在传输速度快，开销小。

在追踪 UDP 流时，Wireshark 同样提供了便捷的功能。不过，由于 UDP 的无连接特性，追踪 UDP 流的结果不像 TCP 流那样能清晰呈现完整的会话过程，而是更多地按照数据包的发送顺序展示数据内容。但在一些特定场景下，如分析 DNS 查询与响应、实时通信应用中的数据传输等，追踪 UDP 流能帮助我们快速定位关键信息，了解数据的交互情况。

（2）CTF 解题场景与思路

在 CTF 比赛中，经常会遇到涉及 UDP 协议的场景。例如，给定一个包含 UDP 流量的 pcap 文件，题目提示 flag 可能隐藏在自定义的 UDP 协议数据中。由于 UDP 协议的灵活性，很多自定义协议会基于 UDP 实现。

首先，使用 Wireshark 打开文件，通过显示过滤器 “udp” 筛选出所有 UDP 流量。然后，右键点击一个 UDP 数据包，选择 “追踪流” - “UDP 流” 。在追踪出的 UDP 流中，观察数据内容，可能会发现一些有规律的数据段或特定的字符串。

假设发现 UDP 流中存在一些以特定字符开头的数据段，将这些数据段提取出来，结合题目其他线索，如提示的编码方式或数据格式，进行分析和处理。如果怀疑是某种编码，尝试使用相应的解码工具进行解码，最终找到 flag。

另外，在一些涉及 DNS 流量的 CTF 题目中，也可以通过追踪 UDP 流来分析 DNS 查询和响应。DNS 协议通常使用 UDP 作为传输协议，通过追踪 UDP 流，可以清晰地看到域名查询请求和对应的解析结果，从中发现可能隐藏的信息或异常情况，进而找到解题的关键线索。

技巧 8 - 导出 HTTP 对象

（1）文件导出操作

在 Wireshark 中，导出 HTTP 对象是一项实用的功能，能够帮助我们从网络流量中提取出通过 HTTP 协议传输的文件。操作步骤如下：首先，使用 Wireshark 打开包含 HTTP 流量的数据包文件。然后，在菜单栏中依次点击 “File - Export Objects - HTTP” 。此时，Wireshark 会弹出一个窗口，展示所有通过 HTTP 传输的文件对象，包括文件的名称、大小、类型等信息。我们可以在这个窗口中选择需要导出的文件，点击 “Save” 按钮，将文件保存到本地指定的目录，方便后续对文件进行深入分析。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会出现一种场景：给定一个包含 HTTP 流量的 pcap 文件，要求找出其中隐藏的 flag，而 flag 可能隐藏在通过 HTTP 下载的文件中。

首先，使用 Wireshark 打开 pcap 文件，通过显示过滤器 “http” 筛选出所有 HTTP 流量。接着，按照上述导出 HTTP 对象的操作步骤，将所有通过 HTTP 传输的文件导出到本地。在导出的文件中，可能有图片、文档、压缩包等各种类型。

对于图片文件，可以使用图片查看工具打开，仔细观察图片内容，可能会发现一些异常的像素点、隐藏的文字或二维码等，通过进一步分析这些线索找到 flag。例如，使用 StegSolve 等工具对图片进行隐写分析，查看不同通道、不同层的信息，有可能发现隐藏在图片中的 flag。

对于文档文件，使用相应的文档编辑工具打开，检查文档的内容、格式、元数据等。例如，在 Word 文档中，可能会隐藏一些不可见的文字，通过设置显示隐藏文字的选项，或者使用 VBA 宏提取隐藏内容，从中找到 flag。

若是压缩包文件，解压后查看里面的文件，可能需要进一步分析文件的内容、文件之间的关系等。有时压缩包可能设置了密码，这就需要根据题目提供的线索，尝试破解密码。例如，题目中可能会暗示密码与某个特定的字符串或数字有关，通过对相关信息的分析和尝试，解开压缩包，进而找到包含 flag 的文件 。

技巧 9 - 分析 ICMP 流量

（1）ICMP 隐藏数据检查

ICMP（Internet Control Message Protocol）协议常用于网络诊断，如 Ping 命令就基于此协议。但它也可能被用于隐藏数据，因为 ICMP 报文的数据部分可携带自定义信息。在 Wireshark 中检查 ICMP 流量时，首先使用过滤器 “icmp” 筛选出所有 ICMP 数据包，集中精力分析这类通信。

对于每个 ICMP 数据包，重点关注数据字段。正常的 ICMP 数据包，如 Ping 请求和应答，数据部分通常是特定的填充数据或小的标识信息。若发现数据字段内容异常，如出现大量非标准的可打印字符、看起来像编码后的数据（如 Base64 编码特征：由大小写字母、数字、“+”“/”“=” 组成），就需进一步分析。还可以检查数据包的大小，若 ICMP 数据包大小与正常情况不符，过大或过小，也可能暗示数据隐藏。例如，正常的 Ping 数据包大小可能在几十字节，若出现几百字节的 ICMP 数据包，很可能有隐藏数据。

（2）CTF 解题场景与思路

在 CTF 比赛中，常出现以 ICMP 为载体隐藏数据的题目。比如给定一个包含网络流量的 pcap 文件，要求找出隐藏的 flag。首先用 Wireshark 打开文件，通过 “icmp” 过滤器筛选出 ICMP 数据包。

仔细观察这些数据包，若发现部分数据包的数据字段包含疑似 Base64 编码的数据，将这些数据提取出来。使用在线 Base64 解码工具或 Python 的 Base64 解码库进行解码。例如在 Python 中，可使用base64.b64decode()函数进行解码。

有时 flag 可能被拆分成多个部分，隐藏在不同的 ICMP 数据包中。这时，需要按照数据包的顺序，将提取并解码后的数据进行拼接。通过这种方式，逐步还原出完整的 flag，成功解决 ICMP 流量分析类的 CTF 题目 。

技巧 10 - 数据解码技巧

（1）常见编码识别与解码

在 CTF 比赛中，从网络流量里找出隐藏信息时，常常会碰到各种编码的数据，像 Base64、十六进制等。识别这些编码，是获取关键信息的重要一步。

Base64 编码是一种用 64 个可打印字符（A - Z、a - z、0 - 9、+、/）来表示二进制数据的方法，常用于在文本协议中传输二进制数据。它的编码结果通常是由这些字符组成的字符串，长度是 4 的倍数，并且如果末尾有填充，会用 “=” 补齐。比如，一段简单的文本 “hello” 进行 Base64 编码后会变成 “aGVsbG8=” ，其中 “=” 就是填充字符。识别时，只要看到字符串由特定字符组成且长度规律，基本就能判断是 Base64 编码。解码 Base64 数据，使用在线工具很方便，像Base64decode.org，只需把编码数据粘贴进去，点击解码按钮，就能得到原始数据。也能用编程语言里的相关库，在 Python 中，使用base64.b64decode()函数就能轻松解码，示例代码如下：

import base64

encoded\_data = "aGVsbG8="

decoded\_data = base64.b64decode(encoded\_data)

print(decoded\_data.decode('utf-8'))  

十六进制编码则是用 0 - 9 和 A - F 这 16 个字符来表示二进制数据，每个十六进制字符对应 4 位二进制。比如，字节 “01000001” 用十六进制表示就是 “41” 。在 Wireshark 里查看数据包原始字节时，能看到十六进制数据。识别十六进制数据很简单，只要看到由 0 - 9 和 A - F 组成的字符串就行。解码十六进制数据，在线工具如 CyberChef 很实用，把十六进制数据输入，选择 “From Hex” 功能，就能得到原始数据。在 Python 里，使用bytes.fromhex()函数可以实现，示例代码为：

hex\_data = "41"

decoded\_data = bytes.fromhex(hex\_data)

print(decoded\_data.decode('utf-8'))  

（2）CTF 解题场景与思路

在 CTF 比赛中，常遇到从数据包负载里找编码数据，再解码获取 flag 的场景。假设给定一个包含网络流量的 pcap 文件，用 Wireshark 打开后，先通过显示过滤器筛选感兴趣的数据包，如 “tcp.payload contains “flag”” ，尝试直接找包含 “flag” 关键字的数据包。若没直接找到，就仔细查看数据包负载部分，寻找可能是编码数据的字段。

比如发现一个 TCP 数据包的负载里有一段看起来像 Base64 编码的字符串，把这段字符串提取出来，用在线 Base64 解码工具或 Python 代码解码。要是解码后得到的是乱码，可能不是 Base64 编码，或者编码数据不完整，再尝试其他编码方式，像十六进制解码。

也可能遇到数据经过多层编码的情况，比如先进行 Base64 编码，再进行十六进制编码。这时，需要根据编码特征，逐步解码。先识别最外层的编码方式，解码后，再对得到的数据判断下一层编码，直到得到有意义的数据，从中找到 flag，成功解题 。

技巧 11 - 查看协议层次结构

（1）功能位置与作用

在 Wireshark 中，查看协议层次结构是了解网络流量组成的重要方式，其功能入口在菜单栏的 “Statistics - Protocol Hierarchy” 。点击该选项后，会弹出一个窗口，以树状结构展示捕获数据中各协议的分布情况。这个窗口会详细列出每个协议的数据包数量和字节数，以及该协议在整个流量中所占的比例。通过这个功能，我们能快速了解当前网络流量主要由哪些协议构成，是 HTTP、TCP，还是 UDP 等，为进一步分析网络流量提供宏观视角，帮助我们迅速定位重点关注的协议，提高分析效率 。

（2）CTF 解题场景与思路

在 CTF 比赛中，假设给定一个包含大量网络流量的 pcap 文件，其中数据包众多，协议复杂。通过 “Statistics - Protocol Hierarchy” 查看协议层次结构，发现 Telnet 协议在整个流量中占比较大，且题目提示与远程管理服务相关。结合这一信息，推测 Telnet 协议可能是解题关键。于是，应用 “telnet” 显示过滤器，只查看与 Telnet 相关的流量。在这些 Telnet 流量中，追踪 TCP 流，由于 Telnet 会话以纯文本格式传输，从中成功找到了用户登录 Windows 机器进行维护活动时使用的密码，也就是题目中的 flag，顺利完成解题任务。

技巧 12 - 重组会话数据

（1）重组原理与操作

在网络通信中，当传输较大的文件或数据时，信息通常会被分割成多个数据包进行传输。Wireshark 的重组会话数据功能就像是一位 “拼图大师”，能将这些分散在不同数据包中的信息重新组合起来，还原出完整的会话内容或文件数据。

对于 TCP 协议，Wireshark 通过追踪 TCP 流来实现数据重组。在 TCP 连接中，每个数据包都有一个序列号，Wireshark 根据这些序列号以及 TCP 的确认机制，将数据包按正确的顺序进行排列和组合。操作时，只需在数据包列表中右键点击属于目标 TCP 连接的任意一个数据包，选择 “追踪流” - “TCP 流” ，Wireshark 就会展示出完整的 TCP 会话内容，数据以文本形式呈现，不同方向的数据用不同颜色区分，方便查看数据的流向和交互过程。

而对于 UDP 协议，虽然 UDP 是无连接的不可靠传输协议，但 Wireshark 同样提供了追踪 UDP 流的功能。不过，由于 UDP 没有像 TCP 那样的序列号和确认机制，Wireshark 主要依据数据包的源 IP、目的 IP、源端口和目的端口来识别属于同一 UDP 会话的数据包，并按照数据包的到达顺序进行简单的排列展示。操作方式与追踪 TCP 流类似，右键点击 UDP 数据包，选择 “追踪流” - “UDP 流” ，就能查看 UDP 流中的数据内容。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会遇到数据分散在多个数据包中的场景。例如，给定一个包含网络流量的 pcap 文件，其中通过 TCP 协议传输了一个重要的文本文件，文件内容可能包含 flag，但由于文件较大，被分割成多个数据包传输。此时，利用 Wireshark 的重组 TCP 流功能，按照上述操作步骤，追踪 TCP 流，就能将分散在多个数据包中的文件内容完整地重组出来。在重组后的 TCP 流数据中，通过搜索 “flag” 关键字或者根据文件内容的逻辑线索，就有可能找到隐藏在其中的 flag。

同样，在涉及 UDP 协议的场景中，比如某个 CTF 题目中使用自定义的 UDP 协议传输数据，flag 被分成多个部分隐藏在 UDP 数据包中。使用 Wireshark 追踪 UDP 流，将相关的 UDP 数据包整合起来，分析重组后的 UDP 流数据，结合题目给出的线索，如特定的编码方式或数据格式，对数据进行进一步处理，从而找到 flag，成功完成解题任务 。

技巧 13 - 分析异常端口流量

（1）异常端口判断

在网络流量分析中，判断非标准端口流量是否异常，需要先了解常见网络服务及其使用的标准端口。例如，HTTP 服务通常使用 80 端口，HTTPS 使用 443 端口，FTP 使用 20 和 21 端口，SMTP 使用 25 端口等。当发现数据包使用的端口并非这些标准端口时，就需进一步分析。

观察端口流量的通信模式。正常的网络通信，如 Web 浏览，HTTP 流量在 80 或 443 端口上呈现出一定的请求 - 响应模式，客户端发送请求，服务器返回响应。若在非标准端口上发现类似 HTTP 请求 - 响应的流量模式，比如频繁的小数据包请求和较大数据包响应，就可能存在异常，也许是有人试图通过非标准端口隐藏 HTTP 服务，以绕过某些安全检测。

还可以查看端口的连接频率和持续时间。正常情况下，一些服务的连接具有一定规律，如邮件服务器的 SMTP 端口，连接可能在特定时间段内相对稳定。若某个非标准端口出现短时间内大量的连接尝试，且连接持续时间极短，就可能是端口扫描行为，属于异常流量 。

（2）CTF 解题场景与思路

在 CTF 比赛中，给定一个包含网络流量的 pcap 文件，要求找出隐藏的服务或数据。首先使用 Wireshark 打开文件，通过 “Statistics - Conversations” 查看所有的通信会话，关注其中使用的端口。若发现一个不常见的端口（如 54321）有大量流量，这就是一个关键线索。

使用显示过滤器，如 “tcp.port == 54321 or udp.port == 54321” ，筛选出与该端口相关的所有流量。对这些流量进行深入分析，追踪 TCP 流或 UDP 流。如果在追踪的流中发现数据内容有类似文件传输的特征，如出现文件头信息（如 PNG 文件的 “89 50 4E 47 0D 0A 1A 0A” 文件头），可能意味着该端口正在进行文件传输，进一步分析数据内容，或许就能找到隐藏的 flag 或其他关键信息。

有时，异常端口可能用于隐藏特定服务。比如发现一个非标准端口上的流量有类似 SSH 服务的加密通信特征，尝试使用 SSH 客户端连接该端口，若能成功连接，输入常见的用户名和密码组合进行尝试，说不定能获取到系统的访问权限，从而找到解题所需的信息 。

技巧 14 - 关注包大小异常

（1）异常包大小特征

在网络通信中，数据包的大小通常遵循一定的规律。正常情况下，不同类型的协议数据包都有其相对固定的大小范围。例如，以太网帧的最小长度为 64 字节（包括 14 字节的帧头和 46 字节的数据部分），最大长度为 1518 字节（包括 14 字节的帧头和 1500 字节的数据部分）。

而在应用层协议中，像常见的 HTTP 协议，一个简单的 GET 请求数据包可能只有几十到几百字节，主要包含请求行、请求头和少量的请求体数据；如果是 POST 请求且携带大量表单数据，数据包大小可能会增大，但一般也在合理范围内。对于 DNS 协议，查询数据包通常较小，可能只有几十字节，主要包含查询的域名和查询类型等信息；响应数据包根据解析结果的不同，大小会有所变化，但一般也不会过大。

当出现异常大或小的数据包时，就需要引起我们的高度关注。异常大的数据包可能是因为其中包含了大量的数据，这些数据有可能是经过特殊编码或加密处理的，隐藏着重要的信息。比如，在一些数据泄露场景中，攻击者可能会将窃取到的大量文件或敏感数据压缩后，通过一个超大的数据包发送出去。

异常小的数据包同样可疑，它可能是为了传输一些关键的、精简的信息，例如一个简单的控制指令或者加密后的密钥。在一些隐蔽通信场景中，发送方可能会将关键信息进行高度压缩或编码，使其能够以极小的数据包形式传输，以躲避检测 。

（2）CTF 解题场景与思路

在 CTF 比赛中，假设给定一个包含网络流量的 pcap 文件，要求找出隐藏的 flag。

首先，使用 Wireshark 打开文件，在数据包列表中，通过 “Length” 列查看每个数据包的大小。如果发现某个数据包的大小明显超出正常范围，比如比其他 HTTP 请求数据包大很多，右键点击该数据包，选择 “追踪流” - “TCP 流” ，查看这个数据包在整个 TCP 连接中的上下文信息。

假设追踪 TCP 流后，发现这个超大数据包似乎包含了一些二进制数据，将这些数据提取出来。由于不确定数据的编码方式，可以先尝试常见的编码识别工具或方法。比如，使用 CyberChef 工具，将提取的数据粘贴进去，利用其自动检测编码功能，判断是否为 Base64、十六进制等常见编码。如果检测出是 Base64 编码，进行解码操作。

有时，flag 可能被分散在多个异常大小的数据包中。这时，需要仔细观察数据包之间的关系，按照时间顺序或其他逻辑线索，将从不同数据包中提取并处理后的数据进行拼接。例如，发现几个连续的异常小的数据包，它们的时间间隔有规律，将这些数据包中的数据依次提取并拼接起来，再进行解码或其他分析操作，最终找到 flag，成功完成解题任务。

技巧 15 - 寻找重复模式

（1）模式识别方法

在 Wireshark 中寻找重复模式时，人工观察是最基础的方法。仔细查看数据包的内容，包括源 IP、目的 IP、端口号、协议类型、数据负载等字段，留意是否有相同或相似的数据段反复出现。例如，在分析 HTTP 流量时，如果发现某个特定的 URL 路径在多个请求中重复出现，这可能是一个关键线索，也许该路径对应的页面包含重要信息。

除了人工观察，也可以借助一些工具来辅助模式识别。像 Python 的数据分析库 pandas，将 Wireshark 导出的数据包数据（如 CSV 格式）导入 pandas 中，利用其强大的数据处理功能，对数据进行分组、统计等操作，快速找出重复出现的数据模式。比如，使用groupby()函数对源 IP 和目的 IP 进行分组，统计每个组合出现的次数，从而发现频繁通信的 IP 对。

（2）CTF 解题场景与思路

在 CTF 比赛中，给定一个包含网络流量的 pcap 文件，要求找出隐藏的 flag。假设在分析过程中，通过人工观察发现一些 UDP 数据包的数据负载部分有规律地重复出现一段 16 进制数据。将这些重复出现的 16 进制数据提取出来，发现它们似乎是经过某种编码的。结合题目提示，怀疑是自定义的编码方式。通过进一步分析重复数据的位置和出现频率，发现它们与数据包的序号存在某种关联。按照这种关联，将提取的数据进行重新排列，再尝试使用常见的解码工具进行解码，最终成功得到了 flag。

又或者，利用 pandas 对数据包数据进行分析时，发现某组特定的 IP 和端口之间的通信非常频繁，且每次通信的数据包大小和数据内容都有一定规律。深入分析这组通信的详细内容，发现数据中隐藏着一些特殊字符，经过解码和整理，找到了包含 flag 的关键信息，成功完成解题 。

技巧 16 - 使用 tshark 辅助

（1）tshark 基本命令

tshark 是 Wireshark 的命令行版本，在某些场景下，特别是需要自动化处理或在无图形界面的服务器环境中，tshark 能发挥巨大作用。它继承了 Wireshark 强大的协议解析能力，支持众多实用命令。

在过滤数据包时，tshark 有捕获过滤器和显示过滤器。捕获过滤器使用-f参数，遵循 BPF（Berkeley Packet Filter）语法，比如-f "tcp port 80"，这个命令会在捕获数据包时，只抓取 TCP 协议且端口为 80 的数据包，常用于捕获 HTTP 流量。显示过滤器则使用-Y参数，采用 Wireshark 的强大过滤语法，例如-Y "http.request.method == GET" ，用于在已捕获的数据包中筛选出 HTTP GET 请求的数据包，方便对特定类型的 HTTP 请求进行分析。

若想从捕获的数据包中提取特定字段信息，tshark 也能轻松实现。使用-T fields参数指定输出格式为字段形式，再结合-e参数指定要输出的具体字段。比如，要提取数据包的序号、源 IP、目的 IP 和 TCP 源端口信息，可以使用命令tshark -r capture.pcap -T fields -e frame.number -e ip.src -e ip.dst -e tcp.srcport ，其中-r参数用于指定读取的数据包文件capture.pcap ，执行该命令后，会输出指定字段的相关信息，便于快速获取关键数据 。

（2）CTF 解题场景与思路

在 CTF 比赛中，有时会遇到需要处理大量数据包的情况，比如给定一个包含海量网络流量的 pcap 文件，要求从众多数据包中提取所有 HTTP 请求的 URL 和 User - Agent 信息，手动操作效率极低。

此时，利用 tshark 就能高效解决问题。使用命令tshark -r large_file.pcap -Y http -T fields -e http.host -e http.user_agent -E separator=, > output.csv ，其中-r指定读取的大文件large_file.pcap ，-Y http筛选出 HTTP 协议的数据包，-T fields -e http.host -e http.user_agent指定提取 HTTP 请求的主机和 User - Agent 字段，-E separator=,设置字段间的分隔符为逗号，最后将结果输出到output.csv文件中。通过这种方式，将复杂的数据提取任务自动化，大大提高解题效率，快速获取所需信息，助力成功解题 。

技巧 17 - strings 提取字符串

（1）工具使用方法

strings 是一个在 Linux 和 Windows 系统中都广泛使用的工具，它的主要功能是从二进制文件或文本文件中提取出可读的字符串。在 CTF 比赛中，当我们面对一个 PCAP 文件时，strings 工具可以帮助我们快速获取其中可能隐藏着关键信息的字符串。在 Linux 系统中，使用 strings 工具非常简单，只需在终端输入strings [PCAP文件名] ，即可提取出 PCAP 文件中的所有可读字符串。例如，有一个名为capture.pcap的文件，输入strings capture.pcap ，系统会输出一系列从文件中提取出的字符串，这些字符串可能包含网络通信中的 URL、用户名、密码、flag 等关键信息。如果想要进一步筛选这些字符串，可以结合grep命令使用，比如strings capture.pcap | grep "flag" ，这样就能直接筛选出包含 “flag” 关键字的字符串，大大提高查找效率 。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会给定一个包含大量网络流量的 PCAP 文件，要求找出隐藏其中的 flag。由于文件中数据包众多，数据繁杂，直接从原始数据包中找到 flag 犹如大海捞针。此时，strings 工具就能派上用场。

首先，在终端使用 strings 工具提取 PCAP 文件中的可读字符串，得到大量的字符串输出。然后，利用grep命令筛选出包含 “flag” 关键字的字符串。假设在输出结果中发现了一个类似 “flag {this_is_a_test_flag}” 的字符串，这就很有可能是我们要找的 flag。但有时，flag 可能经过了编码或隐藏在其他字符串中，需要进一步分析。

比如，提取出的字符串中包含一段看似 Base64 编码的内容，且与 “flag” 相关，这时就需要将这段 Base64 编码的字符串提取出来，使用 Base64 解码工具进行解码。通过这种方式，逐步分析和处理 strings 工具提取出的字符串，最终找到 flag，成功完成解题任务 。

技巧 18 - NetworkMiner 文件重建

（1）工具功能操作

NetworkMiner 是一款强大的开源被动网络嗅探器和网络取证分析工具。它与 Wireshark 有着不同的设计哲学，Wireshark 侧重于展示每个数据包的细节，帮助用户深入分析网络协议的交互过程；而 NetworkMiner 则更关心 “结果” ，它能自动解析流量，将其中传输的实体（如主机信息、传输的文件、泄露的凭证等）提取并分类展示出来，把复杂的流量分析工作变得更加直观。

在从 PCAP 重建文件和会话方面，NetworkMiner 表现出色。首先，需要获取 PCAP 文件，这个文件可以通过 Wireshark 等抓包工具捕获网络流量得到，也可以是 CTF 比赛中给定的题目文件。然后，打开 NetworkMiner，界面简洁易用，直接将 PCAP 文件拖拽到主窗口，或者通过菜单栏的 “File - Open” 来加载文件。

加载完成后，NetworkMiner 会自动开始分析。稍等片刻，各个标签页就会被填充上满满的情报。在 “Files” 标签页，这里堪称 “宝藏库”，NetworkMiner 会自动从 HTTP、FTP、SMB 等协议流中提取并重组所有传输的文件。无论是图片、PDF 文档，还是 exe、zip 压缩包，都会在这里列出。我们可以直接右键点击文件，选择 “Open file” 直接打开文件查看内容，或者选择 “Open folder” 在文件资源管理器中打开文件所在的文件夹，方便进一步操作和分析。

在 “Hosts” 标签页，会列出流量中出现的所有主机，展示每个 IP 地址、MAC 地址、检测到的操作系统（通过指纹识别）、主机名以及收发数据包的数量，这有助于快速构建出网络拓扑，锁定关键设备，比如受害者主机和攻击者的服务器。“Images” 标签页则将所有提取出的图片单独列出，通过缩略图的形式呈现，方便快速浏览，寻找可疑的图片、Logo 或者截图 。“Credentials” 标签页会展示网络中使用明文协议（如 FTP, Telnet, HTTP Basic Authentication）进行登录时泄露的用户名和密码，对检查内网安全策略是否到位很有帮助 。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会出现文件传输相关的题目，给定一个包含网络流量的 PCAP 文件，要求找出隐藏在其中的关键文件或信息，而这些文件可能在传输过程中被分割成多个数据包，通过 Wireshark 手动重组文件难度较大且效率低下。

此时，NetworkMiner 就能大显身手。首先，使用 NetworkMiner 加载 PCAP 文件，等待分析完成。在 “Files” 标签页中，仔细查看提取出的文件列表，根据文件的名称、大小、类型等信息，结合题目提示，筛选出可疑文件。比如，题目提示与一个重要的文档有关，那么在文件列表中查找文档类型的文件（如.docx、.pdf 等）。

假设找到了一个可疑的.docx 文件，右键点击选择 “Open file”，如果文件能够正常打开，仔细阅读文档内容，从中寻找可能的 flag 或其他关键线索。有时，文件可能经过加密或编码处理，无法直接查看内容，这时可以将文件导出，使用专门的解密或解码工具进行处理。

另外，如果在 “Hosts” 标签页中发现一些异常的主机通信，比如一个陌生的 IP 地址与多个内部主机有频繁的文件传输，这也可能是解题的关键线索。进一步查看与这些主机相关的文件传输记录，在 “Files” 标签页中找到对应的文件，深入分析，也许就能发现隐藏在其中的 flag，成功完成解题任务 。

技巧 19 - CyberChef 多功能分析

（1）功能应用

CyberChef 堪称 CTF 比赛中的 “瑞士军刀”，是一款强大的开源 Web 端数据转换与分析工具，拥有直观的图形界面，将复杂的数据处理操作转化为可视化的 “烹饪流程”，支持超过 400 种操作模块 ，功能十分丰富。

在编码与解码方面，它支持多种常见的编码格式，如 Base64、十六进制（Hex）、URL 编码等 。当我们遇到一段 Base64 编码的数据时，只需将其粘贴到 CyberChef 的输入框，然后选择 “From Base64” 操作，就能快速得到解码后的结果；对于十六进制数据，选择 “From Hex” 操作即可完成解码，方便快捷，大大节省了手动解码的时间和精力。

在加密与解密功能上，CyberChef 同样表现出色，支持多种加密算法，如 AES、DES、RSA 等 。假设我们获取到一段使用 AES 算法加密的数据，知道密钥的情况下，在 CyberChef 中选择相应的 AES 解密操作，输入密钥和加密数据，就能轻松得到解密后的原文，帮助我们破解加密信息，获取关键线索。

数据转换也是 CyberChef 的强项之一，它可以实现多种数据格式的转换，像 JSON 与 XML、CSV 与表格等格式之间的相互转换 。例如，在处理一些包含结构化数据的网络流量时，如果数据以 JSON 格式存在，但我们需要将其转换为 CSV 格式以便于在表格软件中进行分析，CyberChef 就能轻松完成这个任务，只需简单的操作，就能将 JSON 数据转换为 CSV 格式，方便后续的数据处理和分析。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会遇到数据经过多层编码或复杂加密的情况。例如，给定一个包含网络流量的 pcap 文件，通过 Wireshark 分析，在 HTTP 请求或响应中发现一段看起来经过编码的数据。

将这段数据提取出来，放入 CyberChef 中进行分析。首先，利用 CyberChef 的自动检测功能，初步判断数据可能的编码方式。如果检测出是 Base64 编码，先进行 Base64 解码。解码后，若得到的结果仍然不是有意义的信息，观察数据特征，发现可能是十六进制编码，接着进行十六进制解码。

有时，数据可能经过了多次编码，比如先进行 Base64 编码，再进行 URL 编码，然后又进行了一次 Base64 编码。这时，就需要根据编码的顺序，在 CyberChef 中依次添加相应的解码操作，按照 “From Base64”“URL Decode”“From Base64” 的顺序，逐步解开编码，还原出原始数据，从中找到 flag 或其他关键信息。

在面对一些加密数据时，根据题目提示或已知信息，判断加密算法。若确定是 AES 加密，并且获取到了密钥，在 CyberChef 中选择 AES 解密操作，输入密钥和解密模式（如 CBC、ECB 等，根据实际情况选择），对数据进行解密。解密后，再结合其他线索，如数据格式、可能的内容范围等，进一步分析处理，最终找到解题所需的信息 。

技巧 20 - Binwalk 文件分析

（1）工具特性

Binwalk 是一款功能强大的开源文件分析工具，主要用于从二进制文件中提取隐藏数据和元数据。它能自动识别并提取多种类型的存档和文件系统，广泛应用于固件分析、文件隐写检测等领域。Binwalk 通过内置的签名数据库对文件进行扫描，这个数据库包含了成千上万已知文件类型的签名。当 Binwalk 运行时，会将目标文件与这些签名进行对比，确定文件结构，从而实现提取和解析。例如，面对一个可能隐藏信息的图片文件，Binwalk 能快速扫描识别其中是否存在嵌入的文件系统、压缩数据或其他可执行代码，并展示出每个已识别文件格式的详细信息，包括大小、位置、签名和可能的嵌入数据 。

（2）CTF 解题场景与思路

在 CTF 比赛中，常常会遇到文件可能包含隐藏数据的场景。比如给定一个看似普通的图片文件，但题目提示其中隐藏着 flag。首先，在 Linux 系统的终端中，使用binwalk [图片文件名]命令对图片进行扫描。假设图片文件名为example.png ，执行binwalk example.png ，Binwalk 会列出所有被识别出的文件类型及其在文件中的偏移地址。如果发现图片中嵌入了一个 ZIP 文件，接着使用-e（–extract）选项自动尝试提取这些内容，即执行binwalk -e example.png ，此操作将创建一个名为_example.png.extracted的目录，并把识别出的嵌入内容按偏移地址分别保存到该目录中。进入该目录，找到提取出的 ZIP 文件，解压后，在解压出的文件中寻找可能包含 flag 的文件，仔细分析文件内容，最终找到 flag，成功完成解题任务 。

这些技巧不仅是理论知识，更是经过实践检验的有效策略。在面对各种复杂的 CTF 题目时，希望大家能够灵活运用这些技巧，将它们融会贯通。当你在赛场上遇到难题时，不妨回顾这些技巧，从不同角度思考，尝试不同的方法，相信你一定能够在网络流量的 “迷宫” 中找到那面象征胜利的 “flag” 。

文章来自网上，侵权请联系博主

互动话题：如果你想学习更多网安方面的知识和工具，可以看看以下题外话！

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。

L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。

L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。

L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）



三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛

学以致用 ，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。



五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。


面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |** CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）