一次抓包定位问题的经历

最新推荐文章于 2024-04-24 16:19:22 发布
最新推荐文章于 2024-04-24 16:19:22 发布
阅读量1.1w 收藏 27
点赞数 2
分类专栏: android 计算机网络 文章标签: android wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/litefish/article/details/74612633
版权

作为一个android开发,经常要抓包定位问题,主要用到的工具有fiddles,charles,wireshark,像http、https的抓包用前2者比较方便,但是底层的包就必须用tcpdump+wireshark了,今天学习了wireshark抓包,在此小记。

准备工作

tcpdump的主要功能就是把网络日志记录在一个pcap文件内,在android上要用tcpdump,首先必须是root的手机,然后得把tcpdump安装好,具体方法可以参考这里。由于我的手机是aosp版本,所以自带root和tcpdump,一个字,爽。
另外我的电脑是mac,在mac上需要装一个wireshark来查看抓包日志。

抓包

连上手机之后,敲入以下三行命令就可以开始抓包,非常简单。

adb shell   #登入手机
su          #切换Root用户
tcpdump -p -vv -s 0 -w /sdcard/capture.pcap   #执行抓包命令,结果保存到capture.pcap文件中

之后我们要停止抓包,只要按下ctrl+c强行中止就可以了。此时我们可以找到capture.pcap文件,用adb把他pull出来就好了,然后在mac上我们用wireshark打开pcap文件查看日志。我遇到的问题是websocket连不上的问题,希望能通过抓包来定位问题。

wireshark 看日志

用wireshark打开pcap文件可以看到下图,里面用TCP、ARP、ICMP包。

enter description here

如果不过滤的话,日志会非常多,要学会用各种方法过滤。我抓包的是一个websocket的连接,我知道web服务器的端口是8092,所以我在过滤窗口输入tcp.port == 8092,如下所示

enter description here

一下子只剩下十几条日志了,如下所示

enter description here

可以看到非常清楚的看到了websocket的连接过程。
我们知道websocket是基于http的,在http的基础上upgrade,然后开始websocket层的数据传输。

三次握手(19,23,24)

从上图可以看到,一上来就是一个熟悉的tcp三次握手(19,23,24三个包)。可以看出我们的本地端口是36498,websocket服务器那边的端口是8092.
首先本地向服务器发一个SYN包(Seq=0),然后服务器回了SYN+ACK(seq=0,ack=1),接着本地回ACK(ack=1,seq=1),成功建立了一个TCP连接。

如下包是什么意思呢? [SYN,ACK]表示的是TCP包的flag里,SYN,ACK为1.后面的seq=0,ack=1表示的是seq和ack的序号。

enter description here

可以看到响应包的ack=请求包的seq+1,这个没错。但是seq不应该是随机的吗?为什么都是0开始的啊?这里的seq都是相对值而不是绝对值。

http upgrade(25)

在TCP连接之上,我们发了一个http请求(25号包),这个请求是用来协商升级即upgrade的,包体如下

enter description here
可以看出我们发的是一个get请求,Upgrade字段是websocket,Connection类型是Upgrade,还有host,user-agent,accept-encoding等熟悉的http头信息。

http回包(27)

客户端发送请求升级websocket的http包给服务器,服务器表示没问题,回了个http包(27号),内容为 HTTP/1.1 101 Switching Protocols.此时客户端和服务端之间的协议就升级为websocket了,之后都用websocket来交流

websocket包(29)

刚才协议升级完了,就可以用websocket通信了,客户端向服务器发了个29号包。主要内容为,这是我们的auth包,向服务器认证,是个json包。后面的内容就不能展示出来了。
{"gameId":2,"accid":25340,"rpcMethod":"/user/auth",。。。。}

这个包里有个FIN要注意了,这是websocket层的FIN,而不是TCP层请求断开的FIN,这个FIN的意思是服务器,你别等了,我这个包已经完整了(因为如果包太大了就会拆分成几个包)。

enter description here

其实我们可以看这个websocket对应的TCP包里面的flag就清楚了,如下所示flag只有PSH和ACK并没有FIN。

enter description here

这是websocket的FIN

enter description here

结束包(48号)

然后服务端忽然给客户端发了个48号包,这是个FIN包。

enter description here
好了。现在回头看看,我抓包的初衷,我以为websocket连不上,但是实际上是websocket已经连上了,然后客户端向服务端发了个AUTH包,服务端直接把tcp连接给断了。所以这个锅必须是服务器的!(真正原因,是服务器收到客户端的auth请求,认为客户端版本过低,没有给客户端回包,而是直接断开了tcp连接,实际上应该给客户端发一个auth失败的通知)。

总结

事实证明抓包还是很有用的,对定位问题很有帮助。

ref

http://www.cnblogs.com/findyou/p/3491014.html

litefish
关注
  • 2
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
分享一个usb监控抓包工具
03-26
强大的USB 抓包分析工具,提供各种视图,很好用,常开发中难免需要抓包抓包可以有很多种方式,比如之前介绍的抓包神器charles。 这次我们来看看怎么利用android studio来抓包。 主要的工具android studio提供的...
网络抓包与流量在线分析系统的设计与实现-基于libpcapMacOS上实现 记录这愉快(DT)的一周
Fatfishlikeswimming的博客
07-09 1065
网络抓包与流量在线分析系统的设计与实现-基于libpcapMacOS上实现 记录这愉快(DT)的一周 要求: 基于LINUX系统设计并实现一个网络流量的分析系统。该系统具有以下功能:(1)实时抓取网络数据。(2)网络协议分析与显示。(3)将网络数据包聚合成数据流,以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。(4)计算并显示固定时间间隔内网络连接(双向流)的统计量(如上行与下行的数据包数目,上行与下行的数据量大小等)。在这些统计数据的基础上分析不同网络应用的流量特征。 关键词:linux
mac抓包需要打开权限
ernest201210的专栏
03-30 6388
转自:http://www.cnblogs.com/zhuolaiqiang/archive/2011/06/09/2088932.html No Interfaces Available In Wireshark Mac OS X No Interfaces Available In Wireshark Mac OS X Many new Wir
抓包干什么用?
最新发布
weixin_71807218的博客
04-24 1011
抓包是一种网络分析工具,用于捕获和分析网络流量。:当网络出现问题时,抓包可以帮助你捕获和分析数据包,以确定问题的根本原因。你可以检查数据包的源和目标地址、协议、端口等信息,找出网络中的错误或异常。:通过抓包,你可以分析网络流量的延迟、吞吐量、丢包率等指标,帮助你找出性能瓶颈并进行优化。你可以检查网络中的延迟问题、带宽利用率等,并采取相应的措施来提高网络性能。:抓包可以帮助你监视和分析网络中的数据流,以检测潜在的安全威胁。
mac地址扫描源码_[源码和文档分享]基于Libpcap实现的局域网嗅探抓包发包解析工具...
weixin_39794385的博客
12-03 130
第一章 需求分析1.1 设计目的1.1.1 基本要求完成一个基于Libpcap的网络数据包解析软件,具有易用、美观的界面。1.1.2 具体要求能够解析本地或局域网的数据包,例如TCP包,UDP包,工CMP包等,能分析报头以及数据包内容能分析数据包的版本、头长度、服务类型、数据包总长度、数据包标识、分段标志、分段偏移值、生存时间、上层协议类型、头校验和、源’p地址和目的工p地址等内容。并将上述解析结...
srsLTE源码学习:MAC抓包pcap
RToax
04-08 1174
Table of Contents pcap.h lib\include\srslte\common 13945 2/28/2019 182 mac_pcap.h lib\include\srslte\common 2564 4/8/2019 1 mac_pcap.cc lib\src\common 5971 4/8/2019...
Mac OS X上使用Wireshark抓包 (抓取手机网络)
热门推荐
我的专栏
12-28 1万+
Wireshark 针对 UNIX Like 系统的 GUI 发行版界面采用的是 X Window(1987年更改X版本到X11)。Mac OS X 在 Mountain Lion 之后放弃 X11,取而代之的是开源的 XQuartz(X11.app)。因此,在 Mac OS X 上安装 Wireshark 之前,需要先下载安装 Quartz。 1.安装 XQuartz
Mac 上使用“终端”捕捉数据包踪迹
parachuter123的专栏
04-19 550
Mac 上使用“终端”捕捉数据包踪迹 如果您知道如何读取数据包踪迹,您可能会发现这在诊断网络连接问题时十分有用。 获取网络接口的 BSD 设备名称 使用管理员帐户登录 Mac。 按住 Option 键,然后选取苹果菜单 () >“系统信息”(或“系统概述”)。 从“系统信息”窗口左侧的列表中选择“网络”。 从该窗口右侧的活动服务列表中选择网络接口(如 Wi-Fi 或以太网)。 从该窗口底部的详细信息部分中,找到“BSD 设备名称”。在图示中,Wi-Fi 的 BSD 设备名称为 e.
linux上查看cap文件,如何使用tcpdump在Mac OS X上读取.cap数据包捕获文件 | MOS86
weixin_36066355的博客
04-29 3798
还可以执行数据包跟踪或嗅探和捕获来自网络的数据包,结果通常是创建一个。上限捕获文件。那个无论您使用何种嗅探网络,网络管理员和安全性专业人士中相当常见的任务,都会创建cap,pcap或wcap数据包捕获文件。也许最简单的打开,阅读和解读的方法。cap文件在Mac或Linux机器上使用内置的tcpdump实用程序。假设您已经捕获了网络连接的数据包跟踪,并使用a创建了捕获的数据包文件。帽,。pcap或。...
c语言判断pcap文件结尾,PCAP文件扩展名 - 什么是.pcap以及如何打开? - ReviverSoft...
weixin_30270715的博客
05-26 374
你在这里因为你有,有一个文件扩展名结尾的​​文件.pcap.文件与文件扩展名.pcap只能通过特定的应用程序推出。这有可能是.pcap文件是数据文件,而不是文件或媒体,这意味着他们并不是在所有观看。什么是一&nbsp.pcap&nbsp文件?该.pcap文件扩展名主要使用Wireshark相关;用于分析网络的程序。 .pcap文件是使用程序创建的数据文件,并且它们包含的...
Mac使用Wireshark中的mergecap合并pcap文件
weixin_44995613的博客
04-27 1137
Mac上使用mergecap合并pcap文件
数据分析与取证capture.pcapng
旺仔Sec&blog
11-04 2921
数据分析与取证capture.pcapng
CAN抓包工具.rar
06-14
CAN抓包工具
APP抓包( 过二次校验思路)
01-08
已经说了怎么简单抓取数据包,和过一次校验抓取数据包的思路和大概的过程。 今天说说过二次校验的思路。 你下载了APP 然后解压 过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述...
一个简单实用的IpTool抓包工具
07-04
这里提供一个简单实用的IpTool抓包工具,设置较为简单
C# 实现 http协议抓包
04-25
根据http协议完善的抓包源码,代码通俗易懂,适合初学者入手
mac上使用Tcpdump命令行抓包工具的安装
abc4715760的专栏
09-29 2933
首先,先从http://www.tcpdump.org网上下载源代码,然后在进行安装,这个Tcpdump依赖libpcap这个安装包,这个包和Tcpdump包都在Tcpdump官网上有,这两个包是在一起的。 安装Tcpdump之前,先安装libpcap,使用命令行安装,这个就要求你的mac安装好xcode命令工具。 打开终端后, cd /Users/***/Downloads/l
Mac OS X下进行网络抓包
Wolfwind521的专栏
11-30 8657
设备Macbook Air,系统Mac OS X 10.10 mac抓包,要么用第三方软件wireshark,要么自己写python脚本用 pcap, dpkt 。 首先,都必须开启网卡:sudo chmod 777 /dev/bpf* 否则,wireshark无法搜到设备,python脚本会报没有权限的Error: pc=pcap.pcap('en0',
【Python学习】Mac下用python+pypcap+dpkt抓取IP数据包并分析(一)
润润的学习星球
07-06 1万+
这几天在做网络协议的课程设计,题目是IP数据报流量监控,要求是从本地抓取数据包然后解析并进行统计。 这不是有现成的Wireshark吗。。功能强大好用支持多平台,简直是居家旅行黑人电脑攻击网站必备神器(误),现在老师居然要我们自己写一个。不过我脑筋一转,正好这学期开始时看了点python,想着锻炼下自己能力,用python写个抓包加分析的小脚本好了。
Wireshark抓包遇到的问题
11-23
Wireshark抓包遇到的问题包括内存溢出和长时间抓包后出现多个“Closing file!”的对话框。内存溢出是因为长时间抓包导致数据包存储在内存中,特别是涉及到音视频的数据包,几个小时可能会达到几个G的大小,导致程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值