feike_3-CSDN博客

原创 tcpdump详解

前面文章咱们介绍了wireshark图形界面抓取网络数据包的方法，这种方法主要用在Windows系统。实际生产环境中使用最多的抓取网络数据包是在linux系统上进行的，这篇文章主要介绍linux系统上最长使用的tcpdump抓包方法，抓取的数据包可直接使用wireshark或者tshark工具进行后续分析，十分方便。另外，tcpdump一般是各linux发型版本预装的module，无需再进行安装。

2022-09-15 18:06:22 2326

原创手动解码SBI http2的nas(n1msg)消息

5GC中控制面SBI接口基本都是采用HTTP2协议，HTTP2消息中的application/json部分一般是ASCII明文编码，wireshark通常都能解码，但是N1 nas消息部分wireshark很多情况并不会进行解码。有些问题分析时，我们可能需要获知N1部分的内容，这种情况下倒是可以对照3GPP规范进行逐字段手工解码。今天在分析inter AMF mobility registration时，发现在source AMF向 target AMF post用户信息时，target AMF很多回了4

2022-06-28 23:52:50 798 1

原创 ubuntu离线安装wireshark

Linux在线安装wireshark容易，但大部分生产环境是无法连接互联网的，看了很多离线安装文章，可能实际环境所限，基本没有看到能有效指导完整安装的，固根据实际摸索经验，整理一篇能完整指导Ubuntu离线安装wireshark的文章。...............

2022-06-20 14:00:32 3106

原创 yum获取rpm软件包的三种方法

有时候你需要一个软件包在离线linux系统上安装，如果自己找软件包麻烦，可以linux yum下载需要的软件包，准备工作是找一台能够联网的linux，并准备好了yum及yum源，一般我们用我们的vmware linux虚拟机就可以了。有两种方法：1、一般yum工具自带两个参数--downloadonly don't update, just download //只下载--...

2020-03-17 11:18:03 6590

原创 wireshark TCP协议首选项配置详解

TCP是我们实际工作中最常用到的传输层协议，同时TCP协议的配置选项比较多，配置选项勾选的差异，会直接导致我们看到wireshark数据包的显示的效果，本文章意在详细解释一下TCP协议的配置选项的每个参数的含义和作用。

2022-10-09 17:51:04 2748 1

原创 wireshark数据包分析-添加快捷过滤器按钮

为自己的wireshark工具添加快捷过滤器按钮，也是大大提高包分析效率的一种方式。实际工作中我们需要关注和分析的信令往往没有那么多，而且比较固定，有些需要使用的过滤语法可能非常复杂，但是又经常用到，那么就可以为这种复杂的过滤器语法增加一个快捷按钮，用的时候直接点一下按钮就可以调出提前写好的语法进行数据包的过滤，无需再一个个的找过滤器并对过滤器进行组合了，提高我们分析问题的效率。

2022-10-09 14:59:36 820

原创 wireshark数据包分析-包定位功能

数据包定位功能很简单也很实用，通常用在阅读别人的分析结果时，别人可能已经告诉你问题或者关键内容在哪一行哪个字段，这种情况下，我们不必再重头进行分析费时费力，可以直接跳到指定行，查看关键内容即可。ctrl + G调出转到分组对话框，在这里直接输入对应的分组行号，回车即可直接跳到对应的行，这样对于比较大的数据包较为方便。如果几十万条数据包，翻起来会略显费时费力。直接一点一点向下翻直到对应的行。

2022-10-08 16:24:34 747

原创 wireshark数据包分析-包查找技术

分析数据包时，最常用且有效的方式当然是使用数据包过滤技术，前面章节我们重点讲过数据包过滤方法。但是也有很多时候最初我们拿到一个数据包时，可能并不知道使用什么过滤语法去过滤我们想看到的数据包，可能只是有印象一些字段单词片段，亦或一些不可使用过滤语法的一些单词或者数字字段组合甚至是16进制数，此时就需要先使用wireshark的数据包搜索功能，搜索到我们需要的数据包，如需要然后再顺藤摸瓜找到过滤语法做进一步的包过滤。

2022-10-08 15:44:30 3839

原创 wireshark数据包分析-包mark标记功能

当我们在分析一个较大的抓包文件时，以下一些场景用wireshark包mark标记功能将大大提高我们的工作效率。1，抓包里面有多个我们需要反复查看的关键点，而且这点关键点的数据包相隔很多行2，分析截取数据包图片时，高亮显示某一行或者几行3，需要保存抓包中不相干的多行数据包时。

2022-10-08 12:04:18 1481

原创 wireshark协议或者协议内容解码异常

使用wireshark分析数据包时，是不是会经常遇到自己的wireshark没能解码出自己想看到的协议或者协议内容，但是别人的可以，这通常是wireshark协议配置的问题，通常有以下2种情况。nas解码异常sip解码异常协议不能识别

2022-09-23 17:12:47 2718 1

原创 wireshark数据包过滤详解(二)-未解码字段过滤

前面一章讲了常规的数据包过滤方法，本篇介绍下未解码字段过滤方法。我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流，wireshark会根据码流里的每一层的协议标识先识别出协议，再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。

2022-09-23 16:07:42 1995

原创 wireshark数据包过滤详解(一)

wireshark之所以如此强大，除了支持大量的协议，并持续更新外，还有一个重要功能，就是强大的包分析过滤语法，后面计划用几篇文章从入门到高级的给大家介绍wireshark网络信令分析工具的包过滤技术。

2022-09-22 16:28:58 6132

原创技术和理论知识学习的一点心得

技术和理论知识学习的一点心得，莫笑话，仅仅是记录，分享与共勉而已，也不一定对，对自己有用就好。

2022-07-25 22:18:57 158

原创 wireshark图形界面抓包

上面介绍了一个简单的图形界面抓包流程，一般简单的抓包可以这么操作，但是有些时候需要对抓包做一番控制时，需要再第一步捕获>>选项设置里做一些配置设置。如果这里没有显示自己要抓包的网卡，可以尝试点击manageinterfaces看下里面有没，如果有勾选出来。点击抓包后，抓捕过程如下，如果所抓包的接口有流量，那么这个屏幕会一直滚动刷新。抓的过程我下载了一个文件，等会可以找找自己下载的内容是否抓到了。点捕获>>选择网卡>>点开始进行抓包。...

2022-07-25 17:13:08 555

原创 wireshark数据包修改--添加或修改消息字段(二)

我们常见的一般只需要修改数据的某一条消息中的某个字段，这种修改只需要使用text2pcap.exe一个工具即可，下面介绍下修改步骤和方法。修改目标为这个包里的第257行消息，在selmod和udmGroupid字段之间添加一部分字段。添加字段内容如下蓝色字段，右键copy as hex dump出来备用。点257这条消息的frame，右键选复制下的“as hex dump”得到如下部分。3. 找到对相应字段位置进行修改或者添加。要修改的部分在0440行，2c和22之间,将上面蓝色码流copy

2022-07-08 13:43:58 3884

原创 linux find实用技巧

find是linux的一个功能强大的指令，我在日常工作中经常实用，这里给大家分享一些实用的使用技巧。指令参数介绍什么的就忽略了，因为随处都能搜索的到。

2022-07-07 17:36:43 375

原创 wireshark数据包修改--IP地址修改(一)

通过三篇文章，介绍通过wireshark修改pcap数据包的方法。在test-1.txt中IP地址进行替换tshark,text2pcap工具

2022-07-06 18:24:04 2543

原创 wireshark IP地址域名解析

wireshark打开pcap包，里面的很多IP address看起来可能不太友好的话，wireshark支持将IP地址解析为自定义的域名。这种实用于临时解析，IP地址较少，且不固定的场景，重新打开抓包，解析消失。1）鼠标定位到需要解析域名的某一行，右键点标记域名解析2）弹出如下标记框，选择IP并输入自定义域名显示效果：这种方式适用IP地址多，而且希望长期生效的场景1）先确认wireshark实用的配置文件目录。2）找到host文件进行修改3）host文件添加IP解析后者删除解析

2022-07-05 09:46:08 5011

原创 http2流分片data合并-方法2(借助linux xxd)

首先如果http2的stream分片了，但是能够decode识别为http2 protocol，这种情况是最理想的情况：使用tcp follow方式比较直观，但是如果http2 stream所在的tcp流包较多的话，follow需要的时间可能较长，这篇文章介绍借用Linux xxd命令合并tcp或者http2 data部分内容两个原因可能需要再次进行处理：3.tcp payload目标字段合并4. 用json工具转换格式上篇文章(http2分片流内容整合呈现方法)介绍过，copy出大括号的部

2022-07-04 23:39:43 708

原创 wireshark图形界面介绍

对wireshark操作界面先做一个大体介绍，后面再对重点工具做展开分享。标准的三面板界面，包分析主要在这个界面操作上排聚类工具，下排快捷工具主要是对抓包文件的操作：编辑里最常用的就是首选项了，其他基本都是快捷方式，一看即明白，不在多介绍首选项主要是对显示的设置，用的最多的是时间格式设置，其他好多有快捷方式很少用到，一般都是快捷方式主要是对抓包的控制这是一个重要工具集，主要是包分析的工具,能大大提个wireshark的分析效率，需重点学习内容。对信令可以做各种统计，属于重点要学习的工具集，里面

2022-07-01 12:14:44 1396

原创 ULCL功能--5GC

对于ipv4，ipv6或者ipv4/v6 PDU session，SMF可以决定为PDU session插入ULCL(上行分流器)数据转发路径，ULCL是UPF支持根据SMF提供的流匹配规则进行转移分流的功能。ULCL的插入或者删除是SMF通过N4口下发给支持该功能UPF的，SMF可以在PDU session建立时或者建立后以自己配置的规则决定插入ULCL UPF，SMF可以为一个PDU session会话插入多个ULCL UPF。UE始终使用同一个ipv4，ipv6或者ipv4/v6地址，UE对于ULCL

2022-06-30 14:47:01 7210

原创 5G网络身份识别---详解5G-GUTI

5G-GUTI是AMF分配给用户的全球唯一标识的临时身份识别信息，3GPP和non-3gpp共用，AMF可以在任意时刻重分配5G-GUTI给UE。 := GUAMI可以识别一个或多个AMF，当GUAMI唯一识别一个AMF时，5G-TMSI唯一这个AMF下的唯一UE；当GUAMI标识多个AMF时，AMF需要做到分配5G-GUTI时，不能与自己share GUAMI的AMF分配的5G-GUTI重复，保证5G-GUTI的唯一性。5GC现网我了解一般都是前者，GUAMI唯一.........

2022-06-30 11:40:59 4365

原创正确安装wireshark

深度使用wireshark的工程师，应该并不会随便找个wireshark版本就安装上去，安装wireshark也要有一定的逼格，哈哈,下面咱们展开介绍一下。我们可能用到的主要是前2个入口：进入download:下载界面主要显示如上，一个最新稳定版本，一个old稳定版本，一个开发版本，文档和如果有别的下载需求的界面，如果咱们需要下载其他版本，click downloads page进入：这里有全部的版本：从learn进入，这里有对应版本的说明：里面主要介绍新版本相对老版本更新的内容，例如：安装

2022-06-29 13:18:40 6172

原创 wireshark过滤http2未解码消息

因为http2 header压缩技术，tcpdump抓包没有抓到完整的http connection establish过程，而是从中间进行抓取时，很可能抓到的包，wireshark没法解开，因为wireshark不清楚双方http connection建立时协商维护的头压缩表。这种情况下，wireshark普通的字段过滤条件将不能过滤出目标信令，我们可以采用源码过滤条件过滤这种未解码信令。通过哪个字段过滤目标消息呢？例如要过滤AMF之间的"HANDOVER_REQUIRED"字段对应的json编码是：2

2022-06-27 17:34:33 843

FT232串口驱动.zip

空空如也