feike_3
爱好技术的通信汪
展开
-
wireshark TCP协议首选项配置详解
TCP是我们实际工作中最常用到的传输层协议,同时TCP协议的配置选项比较多,配置选项勾选的差异,会直接导致我们看到wireshark数据包的显示的效果,本文章意在详细解释一下TCP协议的配置选项的每个参数的含义和作用。原创 2022-10-09 17:51:04 · 2693 阅读 · 1 评论 -
wireshark数据包分析-添加快捷过滤器按钮
为自己的wireshark工具添加快捷过滤器按钮,也是大大提高包分析效率的一种方式。实际工作中我们需要关注和分析的信令往往没有那么多,而且比较固定,有些需要使用的过滤语法可能非常复杂,但是又经常用到,那么就可以为这种复杂的过滤器语法增加一个快捷按钮,用的时候直接点一下按钮就可以调出提前写好的语法进行数据包的过滤,无需再一个个的找过滤器并对过滤器进行组合了,提高我们分析问题的效率。原创 2022-10-09 14:59:36 · 782 阅读 · 0 评论 -
wireshark数据包分析-包定位功能
数据包定位功能很简单也很实用,通常用在阅读别人的分析结果时,别人可能已经告诉你问题或者关键内容在哪一行哪个字段,这种情况下,我们不必再重头进行分析费时费力,可以直接跳到指定行,查看关键内容即可。ctrl + G调出转到分组对话框,在这里直接输入对应的分组行号,回车即可直接跳到对应的行,这样对于比较大的数据包较为方便。如果几十万条数据包,翻起来会略显费时费力。直接一点一点向下翻直到对应的行。原创 2022-10-08 16:24:34 · 727 阅读 · 0 评论 -
wireshark数据包分析-包查找技术
分析数据包时,最常用且有效的方式当然是使用数据包过滤技术,前面章节我们重点讲过数据包过滤方法。但是也有很多时候最初我们拿到一个数据包时,可能并不知道使用什么过滤语法去过滤我们想看到的数据包,可能只是有印象一些字段单词片段,亦或一些不可使用过滤语法的一些单词或者数字字段组合甚至是16进制数,此时就需要先使用wireshark的数据包搜索功能,搜索到我们需要的数据包,如需要然后再顺藤摸瓜找到过滤语法做进一步的包过滤。原创 2022-10-08 15:44:30 · 3741 阅读 · 0 评论 -
wireshark数据包分析-包mark标记功能
当我们在分析一个较大的抓包文件时,以下一些场景用wireshark包mark标记功能将大大提高我们的工作效率。1,抓包里面有多个我们需要反复查看的关键点,而且这点关键点的数据包相隔很多行2,分析截取数据包图片时,高亮显示某一行或者几行3,需要保存抓包中不相干的多行数据包时。原创 2022-10-08 12:04:18 · 1435 阅读 · 0 评论 -
wireshark协议或者协议内容解码异常
使用wireshark分析数据包时,是不是会经常遇到自己的wireshark没能解码出自己想看到的协议或者协议内容,但是别人的可以,这通常是wireshark协议配置的问题,通常有以下2种情况。nas解码异常sip解码异常协议不能识别原创 2022-09-23 17:12:47 · 2672 阅读 · 1 评论 -
wireshark数据包过滤详解(二)-未解码字段过滤
前面一章讲了常规的数据包过滤方法,本篇介绍下未解码字段过滤方法。我们知道tcpdump或者别的抓包手段抓到的数据包的原始数据都是16进制的原始码流,wireshark会根据码流里的每一层的协议标识先识别出协议,再根据协议标准去将16进制原始码流解码成我们可以看懂的ASCII码。原创 2022-09-23 16:07:42 · 1946 阅读 · 0 评论 -
wireshark数据包过滤详解(一)
wireshark之所以如此强大,除了支持大量的协议,并持续更新外,还有一个重要功能,就是强大的包分析过滤语法,后面计划用几篇文章从入门到高级的给大家介绍wireshark网络信令分析工具的包过滤技术。原创 2022-09-22 16:28:58 · 6053 阅读 · 0 评论 -
tcpdump详解
前面文章咱们介绍了wireshark图形界面抓取网络数据包的方法,这种方法主要用在Windows系统。实际生产环境中使用最多的抓取网络数据包是在linux系统上进行的,这篇文章主要介绍linux系统上最长使用的tcpdump抓包方法,抓取的数据包可直接使用wireshark或者tshark工具进行后续分析,十分方便。另外,tcpdump一般是各linux发型版本预装的module,无需再进行安装。原创 2022-09-15 18:06:22 · 2292 阅读 · 0 评论 -
wireshark图形界面抓包
上面介绍了一个简单的图形界面抓包流程,一般简单的抓包可以这么操作,但是有些时候需要对抓包做一番控制时,需要再第一步捕获>>选项设置里做一些配置设置。如果这里没有显示自己要抓包的网卡,可以尝试点击manageinterfaces看下里面有没,如果有勾选出来。点击抓包后,抓捕过程如下,如果所抓包的接口有流量,那么这个屏幕会一直滚动刷新。抓的过程我下载了一个文件,等会可以找找自己下载的内容是否抓到了。点捕获>>选择网卡>>点开始进行抓包。...原创 2022-07-25 17:13:08 · 531 阅读 · 0 评论 -
wireshark数据包修改--添加或修改消息字段(二)
我们常见的一般只需要修改数据的某一条消息中的某个字段,这种修改只需要使用text2pcap.exe一个工具即可,下面介绍下修改步骤和方法。修改目标为这个包里的第257行消息,在selmod和udmGroupid字段之间添加一部分字段。添加字段内容如下蓝色字段,右键copy as hex dump出来备用。点257这条消息的frame,右键选复制下的“as hex dump”得到如下部分。3. 找到对相应字段位置进行修改或者添加。要修改的部分在0440行,2c和22之间,将上面蓝色码流copy原创 2022-07-08 13:43:58 · 3800 阅读 · 0 评论 -
wireshark数据包修改--IP地址修改(一)
通过三篇文章,介绍通过wireshark修改pcap数据包的方法。在test-1.txt中IP地址进行替换tshark,text2pcap工具原创 2022-07-06 18:24:04 · 2477 阅读 · 0 评论 -
wireshark IP地址域名解析
wireshark打开pcap包,里面的很多IP address看起来可能不太友好的话,wireshark支持将IP地址解析为自定义的域名。这种实用于临时解析,IP地址较少,且不固定的场景,重新打开抓包,解析消失。1)鼠标定位到需要解析域名的某一行,右键点标记域名解析2)弹出如下标记框,选择IP并输入自定义域名显示效果:这种方式适用IP地址多,而且希望长期生效的场景1)先确认wireshark实用的配置文件目录。2)找到host文件进行修改3)host文件添加IP解析后者删除解析原创 2022-07-05 09:46:08 · 4955 阅读 · 0 评论 -
http2流分片data合并-方法2(借助linux xxd)
首先如果http2的stream分片了,但是能够decode识别为http2 protocol,这种情况是最理想的情况: 使用tcp follow方式比较直观,但是如果http2 stream所在的tcp流包较多的话,follow需要的时间可能较长,这篇文章介绍借用Linux xxd命令合并tcp或者http2 data部分内容两个原因可能需要再次进行处理:3.tcp payload目标字段合并4. 用json工具转换格式上篇文章(http2分片流内容整合呈现方法)介绍过,copy出大括号的部原创 2022-07-04 23:39:43 · 701 阅读 · 0 评论 -
wireshark图形界面介绍
对wireshark操作界面先做一个大体介绍,后面再对重点工具做展开分享。标准的三面板界面,包分析主要在这个界面操作上排聚类工具,下排快捷工具主要是对抓包文件的操作:编辑里最常用的就是首选项了,其他基本都是快捷方式,一看即明白,不在多介绍首选项主要是对显示的设置,用的最多的是时间格式设置,其他好多有快捷方式很少用到,一般都是快捷方式主要是对抓包的控制这是一个重要工具集,主要是包分析的工具,能大大提个wireshark的分析效率,需重点学习内容。对信令可以做各种统计,属于重点要学习的工具集,里面原创 2022-07-01 12:14:44 · 1317 阅读 · 0 评论 -
正确安装wireshark
深度使用wireshark的工程师,应该并不会随便找个wireshark版本就安装上去,安装wireshark也要有一定的逼格,哈哈,下面咱们展开介绍一下。我们可能用到的主要是前2个入口:进入download:下载界面主要显示如上,一个最新稳定版本,一个old稳定版本,一个开发版本,文档和如果有别的下载需求的界面,如果咱们需要下载其他版本,click downloads page进入:这里有全部的版本:从learn进入,这里有对应版本的说明:里面主要介绍新版本相对老版本更新的内容,例如:安装原创 2022-06-29 13:18:40 · 6160 阅读 · 0 评论 -
手动解码SBI http2的nas(n1msg)消息
5GC中控制面SBI接口基本都是采用HTTP2协议,HTTP2消息中的application/json部分一般是ASCII明文编码,wireshark通常都能解码,但是N1 nas消息部分wireshark很多情况并不会进行解码。有些问题分析时,我们可能需要获知N1部分的内容,这种情况下倒是可以对照3GPP规范进行逐字段手工解码。今天在分析inter AMF mobility registration时,发现在source AMF向 target AMF post用户信息时,target AMF很多回了4原创 2022-06-28 23:52:50 · 747 阅读 · 1 评论 -
wireshark过滤http2未解码消息
因为http2 header压缩技术,tcpdump抓包没有抓到完整的http connection establish过程,而是从中间进行抓取时,很可能抓到的包,wireshark没法解开,因为wireshark不清楚双方http connection建立时协商维护的头压缩表。这种情况下,wireshark普通的字段过滤条件将不能过滤出目标信令,我们可以采用源码过滤条件过滤这种未解码信令。通过哪个字段过滤目标消息呢?例如要过滤AMF之间的"HANDOVER_REQUIRED"字段对应的json编码是:2原创 2022-06-27 17:34:33 · 816 阅读 · 0 评论 -
http2流分片data合并-方法1
5G引入SBA架构,SBI接口均采用HTTP2协议,一个信令流程HTTP2消息携可能带内容过多,TCP会对HTTP2流做分片处理,尤其到NRF get AUSF或者UDM内容时,分片后的包缺少HTTP2头字段,无法解析成HTTP2格式,下面介绍怎么重组显示完整消息内容。以json消息体为例说明。如下我要早的tcp流id是53放到53流的一条消息上 右键》追踪流》tcp 流这个过程可能要稍微等一段时间弹出如下界面:等待客户端分组后的数字不在跳动追踪完成,将追踪内容框中内容全部copy到notepad原创 2022-06-25 11:56:32 · 973 阅读 · 0 评论 -
wireshark功能介绍
wireshark是目前应用最广泛也是最权威的网络协议分析工具,而且是完全开源免费的,wireshark开源项目起始于1998年,当前最新的稳定版本是3.6.6。wireshark能从微观角度去实际感知虚拟的网络世界,wireshark事实上(通常法律上)是很多商业、非商业组织或者政府机构,教育机构的评判依据和标准。wireshark也是我从事通信网络工作十几年使用的最重要的工具,没有之一。.........原创 2022-06-21 17:48:11 · 1524 阅读 · 0 评论 -
ubuntu离线安装wireshark
Linux在线安装wireshark容易,但大部分生产环境是无法连接互联网的,看了很多离线安装文章,可能实际环境所限,基本没有看到能有效指导完整安装的,固根据实际摸索经验,整理一篇能完整指导Ubuntu离线安装wireshark的文章。...............原创 2022-06-20 14:00:32 · 3043 阅读 · 0 评论