基于DPI(深度报文解析)的应用识别2------实际分析

最新推荐文章于 2024-06-16 20:15:50 发布
最新推荐文章于 2024-06-16 20:15:50 发布
阅读量7.1k 收藏 12
点赞数 2
分类专栏: 协议分析 文章标签: 新浪微博 正则表达式 应用识别 协议分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaosju/article/details/39717039
版权

新浪微博的分析

早上刚刚起床先刷微博,打算就分析一下新浪微博。登陆之后抓取发布微博的数据包,进行分析。


   1.抓包的要点:

    1.关闭其他网络应用,保证本机网络流量的干净,便于分析。

    2.先开启wireshark,后发布微博,微博发布成功立即停止,其他的应用类似。

    3.查看conversion list ,太小的包没必要检查。

    4.最关键的一点:一定抓取到3次握手,切记切记。

    5.大部分应用都是基于TCP的,所以TCP优先分析,其次是UDP。


  2.实际分析
1.筛选出TCP的回话列表,如图

最低0.47元/天 解锁文章
Chaos_Ju
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Python通过抓包和使用cookie爬取微博完全讲解(附视频)
weixin_33811539的博客
03-14 799
今天给大家录制了一个爬新浪微博的爬虫,也用到了抓包分析网址,但相较于以前,单纯的使用抓包分析网址在新浪微博是无效的。 cookie是什么 某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。目前有些 Cookie 是临时的,有些则是持续的。临时的 Cookie 只在浏览器上保存一段规定的时间,一旦超过规定的时...
新浪微博内容抓取
zhoujianfeng3的专栏
03-07 3928
最近抓取新浪微博的相关内容,遇到了很多问题也解决了很多问题。一开始我是使用httpclient爬虫抓取网页,但是后面发现微博网页内容很多都是嵌入到js中的;所以改用了htmlunit。下面重点总结几点我的经验吧! httpclient、htmlunit、新浪微博API这三者的优缺点: httpclient: 优点:爬虫比较稳定,相关使用方法很详细,可以参考《自己动手写网络爬虫》这本书
DPI深度报文检测(比如IPS)
最新发布
时空
06-16 445
检测模块的检测也不是完全只匹配关键字,一般先做报文协议解析识别,看看是属于什么协议报文,然后再去匹配下特征库的关键字以及相关策略等等。现在网络安全威胁五花八门,基本的三层、四层安全策略已经完全不够用了,DPI深度报文检测是一种基于报文应用层信息对流量进行识别控制的安全机制,对应的有一堆安全设备,稍等盘点下这些机制和应用。也很多,比如源地址阻断(加黑名单)、报文捕获、日志上报、重定向发送,不同动作的关系及优先级不同,有的为与的关系,有的为或的关系,需要提前了解对应厂商规则。最好选择具有良好集成性的产品。
纯小白思路0基础微博扫码登录抓包流程拿微博sub及完整cookie
qq_21541803的博客
05-25 1240
以我的理解就是相当于身份证,这个身份证可以证明出很多东西也是最重要的东西。可以看到完全没有任何问题,那我们就可以写一个时钟或者定时器,重复抓包数据看一下目前的状态是什么,现在显示二维码过期是我们浪费太多时间,需要注意的是,为了严谨性我们可以一次抓包获取一下状态,看一下返回的retcode是多少数值。entry和source就不用看了,自行百度一下,或者问gpt吧,url是一个固定值,这个可以多次抓包对比,qrid参数就是我们上一个js获取到的数据,disp也是固定值,那我们是不是就可以写,新的请求地址是。
深度数据包检测(DPI)
suyouli的博客
05-12 1万+
深度数据包检测(DPI) 深度数据包检测(Deep packet inspection,缩写为 DPI)是一种特殊的网络技术,一般网络设备只会查看以太网头部、IP头部而不会分析TCP/UDP里面的内容这种被称为浅数据包检测;与之对应的DPI会检查TCP/UDP里面的内容,所以称为深度数据包检测。 DPI一般是一个硬件或者软件,一般用“旁挂”的方式接入到网络。它会对网络中的每个数据包进行
Fiddler抓包工具总结
weixin_34297704的博客
01-18 4697
序章 Fiddler是一个蛮好用的抓包工具,可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作。也可以用来检测网络安全。反正好处多多,举之不尽呀!当年学习的时候也蛮费劲,一些蛮实用隐藏的小功能用了之后就忘记了,每次去网站上找也很麻烦,所以搜集各大网络的资料,总结了一些常用的功能。 Fiddler 下载地址 :https://www.telerik.com/download/...
基于DPI深度报文解析)的应用识别
HelloWorld
09-30 2万+
一、概述 1.DPI(Deep packet inspection,深度报文解析) 所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包4 层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用分析识别各种应用及其内容,主要实现一下功能: 应用分析——网络流量构成分析、性能分析、流向分析等;用户分析
GB0-510题目(H3CNE安全).pdf
05-03
- **深度报文识别**:能够深度识别报文所属的应用程序。 - **黑名单匹配**:如果报文与黑名单匹配成功,则会直接丢弃,不再进行其他检测。 - **APR 功能**:实现对报文所属应用程序的识别。 ##### 其他知识点 ...
DPI深度安全技术之IPS功能介绍-6W100-整本手册
03-02
**DPI深度安全技术之IPS功能详解** IPS(Intrusion Prevention System,入侵防御系统)是一种先进的网络安全技术,主要用于检测并防御应用层的攻击。它通过分析网络流量,实时识别和阻止潜在的入侵行为,从而保护...
基于DPI应用协议解析.doc
10-08
深度包检测(DPI)】深度包检测(Deep Packet Inspection)是一种先进的网络监控和管理技术,它超越了传统的基于端口和协议类型的数据包过滤,深入到数据包的内容层面进行分析DPI允许网络管理员查看并理解网络...
满满干货-GTP在网络安全中的使用技巧!
08-08
3. **深度包检测(DPI)**:部署DPI设备,对GTP流量进行实时分析,检测并阻止恶意行为。 4. **防火墙与访问控制**:设置防火墙规则,限制未经授权的GTP连接,只允许合法的GTP信令和数据流通过。 5. **监控与日志...
网络游戏-对网络流进行分类、状态跟踪和报文处理的装置和方法.zip
09-19
实际操作中,可能运用深度包检测(DPI)技术来深入解析数据包内容,以便更精细化地分类和处理。同时,使用状态防火墙和代理服务器可以提供额外的安全层,防止恶意攻击影响游戏服务。 6. **性能优化**: 为了...
DPI — 业务识别技术
烟云的计算
06-04 2809
目录 文章目录目录DPI 的业务识别技术类型特征识别Protocol 特征Payload 特征关联识别行为识别 DPI 的业务识别技术类型 DPI 的关键技术是能够高效的识别出网络上的各种应用类型。 浅报文检测是通过端口号来识别应用类型的。如:检测到端口号为 80 时,则认为是 HTTP 协议。但实际上,为了应用的安全性考虑通常不会使用默认端口来暴露业务能力。此时采用 L2 ~ L4 层的传统检测方法已无能为力了。 而 DPI 技术与我们熟知的防病毒软件在某些方面比较类似,即:其能识别应用类型必须是系统已
DPI (Deep Packet Inspection) 深度包检测技术
学习·交流
04-02 3505
DPI技术是一种基于应用层的流量检测和控制技术,称为“深度包检测所谓“深度”是和普通的报文分析层次相比较而言的,普通报文检测仅分析 IP 包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。传统IP头部报文分析DPI除了对前面的层次分析外,还增加了应用分析识别各种应用及其内容。当 IP 数据包、TCP 或 UDP 数据流通过基于DPI
DPI(Deep packet inspection,深度报文解析
BlueBirdssh的专栏
08-02 7751
DPI(Deep packet inspection,深度报文解析) 正好,有这么一个基于opendpi框架的深度报文分析的工具——ndpi ndpi是在opendpi的基础上编写而来的协议分析工具。源代码编译后生成两个部分,一个是内核层的xt_ndpi.ko模块,用来实时分析流量,另一个是应用层的lib库,给ndpiReader这个工具提供库,用来分析抓包工具提供的文件或者底层网...
ARP协议DPI深度解析
05-07 1197
DPI对ARP报文进行解析(也可以借鉴open dpi?),整理ARP报文结构如下: 结构ether_header定义了以太网帧首部;结构arphdr定义了其后的5个字段,其信息用于在任何类型的介质上传送ARP请求和回答;ether_arp结构除了包含arphdr结构外,还包含源主机和目的主机的地址。 定义以太网首部: typedef struct ehhdr { unsig...
通过Wireshark捕捉访问网页的全过程
热门推荐
Qiang的博客
02-15 2万+
通过Wireshark捕捉访问网页的全过程 整个过程可以概括为以下几个部分: 1)域名解析成IP地址 2)与目的主机进行TCP连接(三次握手) 3)发送与收取数据(浏览器与目的主机开始HTTP访问过程) 4)与目的主机断开TCP连接(四次挥手) 1. 打开Wireshark并开始捕捉 2. 访问网页 打开一个无痕浏览器,并访问网站www.4399.com 访问完成后,停止抓包 3. DNS解析域名过程 DNS域名解析时用的是UDP协议。整个域名解析的过程如下: 1)浏览器向本机DNS模块发
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值