流量分析
关注
分享
扫一扫
马赛克|
搬砖的转行去烧砖!
展开
-
WireShark过滤规则
一:介绍Wireshark是一款强大的抓包软件,其中过滤规则最主要分为两部分一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则分别对应下面两张图的对应规则填写位置如果符合对应的规则那么就会显示成为绿色,否则的话就是红色二:抓包过滤器抓包过滤器的语法是BPF过滤规则的语法 ,这个语法被广泛应用于多种数据包的嗅探软件,因为大多数的的软件都是基于libpacp/W...原创 2019-12-06 22:51:13 · 1515 阅读 · 0 评论 -
让网络不再卡
一:前言很多技术都可以用来排除网络缓慢的故障,本文主要集中在TCP,因为大多数时间都在面对TCP,TCP允许执行被动的回溯分析,而不用生成额外的流量(比如ICMP)二:TCP的错误恢复特性TCP的错误恢复特性使我们定位、诊断并最终修复网络高延迟的好工具。在计算机网络中,“延迟”是数据包传输与接收时间差的衡量参数延迟可以被测量为单程延迟(从单个来源到一个目的地)或往返延迟(从来源到达...原创 2020-03-18 16:58:18 · 1065 阅读 · 0 评论 -
Wireshark协议分析之DNS
一:前言域名系统(DNS)是最重要的互联网协议之一,因为它是总所周知的黏合剂,把域名转换为IP地址。当我们想要和一台网络设备通信却不知道它的IP地址,可以使用它的域名来进行访问。DNS服务器存储了一个有着IP地址和DNS名字映射资源记录的数据库,并将其和客户端以及其他DNS服务器共享由于DNS服务器的结构很复杂,因此我们只关注于通常类型的DNS流量二:DNS数据包结构事...原创 2020-03-16 10:06:39 · 3100 阅读 · 0 评论 -
Wireshark协议分析之DHCP
一:前言在网络时代早期,当一台设备想要在网络上通信时,它需要被手动分配一个地址。随着网络的发展,这样的手动过程很快变得繁琐起来。为了解决这个问题,BOOTP协议(BootstrapProtocol)问世,它主要作用是给连接到网络的设备自动分配地址。BOOTP后来被更加复杂的协议DHCP(DynamicHostConfigurationProtocol)所取代DHCP是一个应用层协议...原创 2020-03-15 15:07:45 · 2157 阅读 · 0 评论 -
Wireshark协议分析之SMTP
一:前言如果说Web浏览是用户参与次数最多的网络活动,那么收发邮件有可能是第二位。简单邮件传输协议(SMTP)是发送邮件的标准,它被MicrosoftExchange和Postfix等平台使用与HTTP一样,SMTP由于实现方式、与客户端/服务器兼容性相关的一些列特性的不同,在数据包结构上存在多样性。本文只是通过在数据包层面,对邮件发送过程进行分析,来探究SMTP的一些基本功能二:...原创 2020-03-15 11:52:23 · 12581 阅读 · 1 评论 -
Wireshark协议分析之HTTP
一:前言HTTP是万维网(WorldWide Web)的传输机制,允许浏览器通过连接Web服务器浏览网页。目前在大多数组织中,HTTP流量在网络中所占的比率是最高的本文不会介绍HTTP传输的数据包结构,因为有着不同目的的数据包的内容差别会很大,该文只介绍HTTP的实际应用二:使用HTTP浏览HTTP常被用来浏览Web服务器上使用浏览器访问的网页三:使用HTTP传送数据...原创 2020-03-14 14:23:51 · 1092 阅读 · 0 评论 -
Wireshark协议分析之UDP
一:前言用户数据包协议(UserDatagram Protocao,UDP)是在现代网络中较常使用的另外一种第4层协议。如果说TCP是为了满足带有内在错误检测的可靠数据传输,那么UDP主要是为了提供高速的传输。UDP是一种尽力服务,通常会被称为无连接协议一个无连接协议并不会正式地建立和结束主机之间的连接,也不会像TCP那样存在握手和终止的过程无连接协议意味着不提供可靠性服务,但是依赖...原创 2020-03-13 18:29:29 · 2119 阅读 · 0 评论 -
Wireshark协议分析之TCP
一:前言TCP的最终目的是为数据提供可靠的端到端传输,而且TCP能够处理数据的顺序并恢复错误,并且最终保证数据能够到达目的地。TCP被认为是面向连接的协议。因为它在传输数据之前会事先发起一个正式的连接,用来追踪数据包的传递。当传输要结束时,它会尝试正式地关闭会话通道很多普遍使用的应用层协议,都依赖于TCP和IP将数据包传输到最终目的地二:TCP报头源端口(Source...原创 2020-03-13 13:07:57 · 1010 阅读 · 0 评论 -
Wireshark协议分析之ICMP
一:ICMP头ICMP是TCP/IP协议簇中的一个功能协议,负责提供在TCP/IP网络上的设备、服务以及路由器可用性的消息大多数网络检修技巧和工具都是基于常用的ICMP消息类型类型(Type):ICMP消息基于RFC规范的类型或分类代码(Code):ICMP消息基于RFC规范的子类型校验和(Checksum):用来保证ICMP头和数据在抵达目的地时的完整性可变域(Var...原创 2020-03-12 14:38:31 · 4322 阅读 · 0 评论 -
Wireshark协议分析之IPv6
一:前言IPv4的最大地址空间仅允许有4.3亿个地址。但实际上减去特殊用途的预留地址,比如测试地址、广播地址、内网地址,实际可用的地址空间更加有限。解决IPv4地址耗尽的措施,唯一途径就是开发IP规范的新版本。IPv6相比IPv4在报文结构和通信方式上有较大改变二:IPv6地址IPv4地址被局限在32位,提供2的32次方个地址,IPv6有128位,提供2的128次方个地址因为I...原创 2020-03-12 13:33:49 · 9082 阅读 · 0 评论 -
Wireshark协议分析之IPv4协议
一:前言如果网络中的所有设备都是使用集线器或者交换机进行连接,那么这个网络称为局域网(LAN)。如果将两个局域网连接起来,那么需要路由器。复杂的网络中,可能包含了成千上万的局域网,而这些局域网是由成千上万的路由器连接起来的。互联网本身是由无数局域网和路由器组成的一个集合二:IPv4头(固定长度20字节)版本(version):IP所使用的版本首部长度(HeaderLeng...原创 2020-03-11 19:36:26 · 7318 阅读 · 3 评论 -
Wireshark协议分析之解密SSL/TLS流量
一:前言当浏览器访问HTTPS站点时使用SSL/TLS协议。这个协议诞生之初叫(securesockets layer,ssl),在调整了部分协议和修正了原版SSL协议里的一些问题后,又改名为Transport Layer Security(TLS)。这两个词往往可以互换使用,不用刻意区分。当前SSL已经被普遍认为不够安全,应该升级为TLS。在抓包过程中,尽管Wireshark解析器能...原创 2020-03-11 11:39:00 · 2726 阅读 · 0 评论 -
Wireshark协议分析之基础知识
一:安全三要素保密性(confidentiality)、完整性(integrity)、可用性(availability)是信息安全的3个基本方面简称CIA 或CAI数据的保密性最主要靠加密技术。只要网络流量是加密的,从有线或无线网络上直接读取到的数据就是不可识别的二:入侵检测和防护系统入侵检测系统(IntrusionDetectionSystem,IDS)在有问题时只报...原创 2020-03-11 11:11:30 · 1110 阅读 · 0 评论 -
Wireshark协议分析之ARP协议
一:以太网帧一个完整的以太网帧包含下面的内容:1前同步码(前导码)(56比特=7字节)2 标识以太网帧正式开始的定界符(分隔符SFD)(8比特=1字节)3 目标MAC地址(48比特=6字节)4 源MAC地址(48比特=6字节)5 长度/类型字段(16比特=2字节)6 第二层以太网帧里的数据体(46-1500字节)7 数据体长度不足时填充(如果...原创 2020-03-08 16:09:48 · 1507 阅读 · 0 评论