一、实验目的熟练掌握流量抓包分析工具Wireshark的基础操作流程熟练运用字符串检索功能快速筛选网络数据包内的关键内容同时掌握CTF竞赛流量分析类基础题型的解题逻辑学会从原始网络流量包中直接提取明文形式的flag数据。二、实验环境操作系统Windows 11 桌面操作系统实验工具Wireshark v4.x版本该版本可完美兼容pcapng格式的流量捕获文件适配本次实验数据包解析需求实验素材从CTF竞赛平台下载的流量捕获文件flag明文.pcapng三、详细实验解题步骤步骤1导入流量捕获文件登录对应的CTF答题平台进入本题页面下载实验所需的流量数据包附件flag明文.pcapng打开本地安装好的Wireshark抓包工具点击软件顶部菜单栏的【文件】选项选择【打开】功能在本地文件目录中选中已下载的流量包完成文件导入文件加载完成后软件主界面会完整展示本次抓取的全部网络报文涵盖ARP地址解析协议、DHCP动态主机配置协议、NTP网络时间协议等常见网络流量数据。步骤2设置数据包检索规则本次实验flag以明文形式存放在数据包原始字节流中需要提前配置检索规则精准定位目标内容具体操作如下使用快捷键CtrlF快速唤起Wireshark内置的分组查找功能面板修改查找面板两项核心参数检索方式选择字符串保证以文本形式匹配内容检索范围切换为分组字节流遍历数据包底层原始二进制数据避免遗漏隐藏明文信息确认所有检索参数设置无误等待后续关键词检索。步骤3检索关键词并提取Flag在查找面板的搜索输入框中填入CTF题目通用特征关键词flag按下回车键启动首轮检索软件自动遍历全部数据包原始字节流匹配包含目标关键词的报文再次按下回车键软件会自动跳转至首个包含flag关键词的网络数据包查看软件下方分组字节流窗口页面会自动高亮标记flag完整明文内容右键选中对应flag字段选择显示自组分节选项即可一键复制完整flag完成解题。