前提:捕获的数据包(我用的是wireshark 捕获的数据包)
1:发现TCP报文;
我们捕获的数据包是经过多次包装的数据,最常见的包装为Ethernet II -> IP -> TCP/UDP ->应用层协议(HTTP 等)。
要发现IP数据包下的TCP报文,我们可以根据IP首部的协议类型来判断,常见的协议类型有:
1:ICMP
2:IGMP
6:TCP
17:UDP, 等
2:发现TCP 报文后,我们就要对TCP 报文进行进一步的处理,首先对其首部进行处理,可以获取到源端口、目的端口、首部长度、标志位、序列号、确认号、校验和、等信息;但是如何在确定下面包装的是不是HTTP报文确实有些麻烦。最开始打算通过端口号来确定,我们知道HTTP默认使用的是80 端口;虽然可以发现一些HTTP 报文,但是我们知道端口号是可以改变的;所以这样可能会出现遗漏的情况。
后来,想通过对TCP 的数据部分进行正则匹配,匹配HTTP 报文必须的关键字,如:“请求报文” “响应报文”的首部,看看是否符合HTTP 报文的格式,
匹配代码:
String string = new String(tcpdata);
//判断是否为HTTP 报文(通过正则表达式 判断数据是否具有HTTP 协议的格式)
Pattern pattern = Pattern.compile("[a-zA-Z]{3,7} .* HTTP/1.[0,1]");//匹配所有的HTTP 请求报文
Matcher matcher = pattern.matcher(string);
Pattern pattern2 = Pattern.compile("^HTTP/1.[0,1] [0-9]{0,3} *");//匹配所有的HTTP 响应报文
Matcher matcher2 = pattern2.matcher(string);
if (matcher.find() || matcher2.find()) {
System.out.println(string.split("\r\n")[0]);
}