0x00 已知條件

有人在內(nèi)網(wǎng)發(fā)起了大量掃描，而且掃描次數(shù)不止一次，請你從capture日志分析一下對方第4次發(fā)起掃描時(shí)什么時(shí)候開始的，請?zhí)峤荒惆l(fā)現(xiàn)包編號的sha256值(小寫)。

Hint1: 請?zhí)峤籔CTF{包編號的sha256}

解壓出來是一個(gè).log文件，依然是流量分析，Wireshark。

0x01 思考過程

打開發(fā)現(xiàn)情況如下圖，ping過目標(biāo)（IP 192.168.0.99）后，開始對不同的端口不斷進(jìn)行TCP SYN掃描。

image.png

• 一開始以為對不同端口算作一次，找了9號做sha256加密提交，失?。凰闵蟨ing，7號，加密提交，失敗。

• 因此認(rèn)為對一臺主機(jī)的所有端口掃描都算作一次。按照掃描一般規(guī)律，過濾出ICMP包（ping），如下圖。

  
  
  image.png
  
  

  發(fā)現(xiàn)192.168.0.9 ping過3次，下面的三個(gè)不同源IP的ping都沒有回應(yīng)。于是將“第四次”（192.168.0.9的三次，192.168.0.1的一次）的編號155987加密提交，依然失敗。

• 那么多半只能是按不同源IP算次數(shù)了。192.168.0.9的三次算一次，192.168.0.1和192.168.0.254的兩次，那么第四次就是192.168.0.199了。它對應(yīng)的編號為155989，加密提交，通過。