网站被攻击，如何从流量文件分析出被偷走什么数据

以下是一些步骤和思路：

1. 捕获数据包：在受到攻击的服务器上安装Wireshark，并开始捕获来自被攻击的网站的流量。确保在捕获过程中尽可能减少其他网络活动，以便更容易分析。
2. 过滤数据包：使用Wireshark的过滤器功能，过滤出与你的网站相关的流量。可以使用源或目标IP地址、端口号等参数来过滤。
3. 检查HTTP请求：如果你的网站是通过HTTP协议提供服务的，那么查看HTTP请求非常重要。检查请求头部信息，看看是否有异常的请求，比如大量的POST请求、未知的User-Agent等。
4. 检查敏感信息传输：搜索敏感信息，如用户凭据、信用卡号、个人身份信息等。这些信息可能以明文形式传输，也可能通过加密通信传输。检查明文传输的信息，以及使用常见加密协议（如HTTPS）传输的数据。
5. 分析异常流量：查看是否有大量数据流向了非预期的地点，或者是否有大量来自单个IP地址的请求。
6. 检查异常连接：查看是否有与你的网站建立异常的TCP连接，比如大量的SYN Flood攻击。
7. 寻找异常行为：注意任何异常的行为模式，比如频繁的重复请求、异常的数据量等。
8. 标记和记录：在分析过程中，标记和记录任何发现的异常行为和潜在的受损数据。