协议分析
文章平均质量分 80
村中少年
网络安全研究员,计算机科学与技术本硕,做过网络安全底层开发,做过网络安全研究,做过网络安全应急响应,多年安全行业经验,热爱技术,分享知识
展开
-
HTTP 协议的Content-type都有哪些文件类型
HTTP协议的Content-type都有哪些常见的文件类型,文件后缀原创 2020-02-26 18:00:13 · 8759 阅读 · 2 评论 -
如何解密QUIC协议
如何解密QUIC协议原创 2018-11-21 21:23:02 · 3876 阅读 · 1 评论 -
关于HTTP头域User-Agent二三事
本文主要思考了HTTP协议中User-Agent相关的内容。 strings命令用来提取pcap文件中的UA,host等头域字段,大致的形式是strings-d *.pcap | grep -ioP "User-Agent:.*" | sort | uniq –c,意思是统计该目录下面的所有pcap文件中的UA字段,并统计该UA出现的次数。我试了一下,却发现如下图所示的情况 黑原创 2016-08-30 16:43:35 · 7478 阅读 · 0 评论 -
Python抓取360手机市场APP信息并做简单分析
初步学习了python的基本语法,然后结合项目写了一个爬虫程序,主要功能是爬取360应用市场的APP相关信息,这次简单介绍一下。 程序主题包括一个程序启动类,一个写数据库类,一个360市场app的信息获取类,一个正则解析类,一个日志功能类,利用的是最基本的urllib库,没有使用开源的框架。其中日志功能类没有写好,但是在实际的应用过程中发现,会经常出现由于网络的波动影响到抓取以及特殊字符原创 2016-08-30 16:35:41 · 3354 阅读 · 1 评论 -
从数据包看工程师应该注意的编程习惯
以下所讲的内容是我在协议分析的过程中遇到的,但是确实是值得我们攻城狮思考的问题。即从数据流中反应程序员的习惯问题。 在协议分析的过程之中,配置正则的时候有很多奇怪的现象,比如在配置Host头域的时候的,使用了全局通用的规则(H|h)ost:(\x20),一开始的时候偶非常疑惑为什么这么写。印象之中HTTP的头域都是大写开头的,这里为什么还要小写呢?回头在查看HTTP1.1发现RFC2616中原创 2016-01-22 17:19:30 · 836 阅读 · 0 评论 -
Session ticket关联TLS流方法分析
本文主要就Session ticket方法结合具体应用做一次简单的分析原创 2016-05-06 15:04:57 · 7533 阅读 · 0 评论 -
如何找到最新的RFC文档
最近需要看一下熟知端口对应的协议。看了一下RFC1060,觉得这个文档有点老了,就尝试着找一个新版本的。分享一下我是如何找到对应最新的RFC文档,这其实还是蛮重要的,毕竟有的时候RFC前后的差异还是有的。 查看RFC最权威的网站是http://www.iana.org/,在IANA的protocols子页面下面有这样一个链接,如图1所示:图1 RFC Editor Q...原创 2016-08-30 17:02:51 · 11030 阅读 · 1 评论 -
手机上4G和WIFI情况下抓包总结
手机android和iphone抓包总结,包括4G抓包和WIFI抓包原创 2016-08-30 17:33:40 · 25368 阅读 · 0 评论 -
端口二三事
最近在看0-1024熟知端口所对应的内容,然后写了脚本对IANA数据库所提供的端口和服务对应的关系进行了归类,发现如下的端口是值得注意的地方。原创 2016-09-07 09:32:32 · 1117 阅读 · 0 评论 -
IP层协议号和TCP层端口号重复情况
今天做了一把好事者,对比了IP层协议号和TCP层端口号重复情况。原创 2017-03-25 11:02:36 · 1751 阅读 · 0 评论 -
老司机带你get海量网页请求数据
老司机带你到web请求的数据中飞一会原创 2017-08-31 18:34:01 · 1734 阅读 · 0 评论 -
重定向问题浅析
当我们在浏览器的地址栏输入网址的时候,背后发生了很多的故事,比如客户端和服务端在在DNS这一层要进行IP和域名的映射;在IP层双方都需要进行路由的寻址;在链路层,双方都需要进行MAC地址和IP地址的映射。我们今天所要讨论的是在应用层这一层所发生的重定向问题。 这幅图得到两个结果: 1、发生了重定向,即http://www.baidu.com ->https://www.ba原创 2016-01-22 17:22:44 · 1537 阅读 · 0 评论 -
HTTP之头部过长和非80端口的报文分析
本文对抓包过程中遇到的两种情况做了简单的分析:1,HTTP使用非80端口;2,HTTP头部过长导致头部分包传输。 情况一: 在wireshark的view->Coloring Rules里面有这个界面。从这幅图可以看出两点:1,不同的颜色表示协议。2,String那一栏表示的是针对该种协议的规则(即wireshark是根据什么条件来判断该报文是什么协议的报文,当然你可以添加新的协议原创 2016-01-22 17:12:54 · 4040 阅读 · 0 评论 -
由HTTP的\r\n所联想到的
本文主要是以HTTP使用\r\n来换行,联想到不同操作系统的换行问题,对HTTP是一种基于文本的协议做了一次有意思的分析。使用巴克斯范式来表示HTTP消息如下 http-message = start-line *(message-headerCRLF) CRLF原创 2016-01-22 17:08:54 · 8199 阅读 · 0 评论 -
HTTP之X-Requested-With分析和思考
本文主要是针对自己在实际的协议分析过程中遇到的X-Requested-With头域进行了分析,主要分析了该头域为什么会出现,以及在什么情况下出现。好像是同一个问题,但是细究还是有所不同。 最近在报文抓包的时候遇到了X-Requested-With头域,该头域在RFC2616中并未提及,以X打头的头域作为非HTTP标准协议,一般是某种技术的出现而产生或者某个组织指定的,像我遇到的X-Reque原创 2016-01-22 17:05:06 · 31619 阅读 · 2 评论 -
阅读完HTTP等协议的RFC文档之后的感受
以前对于HTTP和FTP也是有所了解的,看了一遍英文版的RFC文档,虽然很痛苦,但是感觉是有所不同的。 1,HTTP所表达的控制以及描述性相关的信息都包含在了HTTP的起始行和首部之中。BNF的使用使得自己能够清晰的梳理出起始行和首部中所有类别的元信息。对于每一类的元信息具体包含哪些内容也能够有所了解。这一抽象的方法不仅HTTP协议定义的时候比较严谨之外,在实现HTTP解析器(浏览器)的时候原创 2016-01-22 17:00:00 · 4403 阅读 · 0 评论 -
苹果的icloud目前有部分的服务是托管在亚马逊AWS和微软的AZURE上
本文主要针对在icloud中出现的AWS和Azure云服务进行了分析。 最近分析苹果的icloud流量发现,icloud使用了亚马逊云AWS以及微软云Azure来进行分流,只能说苹果的icloud云服务还是too young吧。也许当年美国监控全球数据的时候,任何一家公司都未能幸免。 好了,先拿出一点证据说明苹果使用了两位老大哥的云服务吧: 这条流是在从icloud升级到iclo原创 2016-01-22 11:01:55 · 3173 阅读 · 0 评论