wireshark使用说明

CTRL+shift+E 启用与禁用协议
%%然后
tshark -r E:\ctf_workspace\第1章\1-2\fetus_pcap.pcap -Y "ip.src_host==\"192.168.3.73\"" -T fields -e data.len > return.txt然后转成 ASCII 码，然后 base64 解码找到FLAG{xx2b8a_6mm64c_fsociety}%%

CTRL+shift+alt+T/U 追踪流
ctrl+shift+X 导出分组字节流

tshark -r E:\ctf_workspace\第1章\1-2\DNS.pcap -Y "dns&&!icmp&&ip.addr==192.168.191.128 -T fields -e dns.qry.name > return.txt

显示过滤器的特征值利用 http contains "ctf"