精华内容
参与话题
问答
  • Linux_tcpdump抓包分析详解

    万次阅读 2020-05-19 21:00:13
    tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。tcpdump提供了源代码,公开了...

    tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具。
    tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。

    1、常用网口 + IP + 端口抓取方式

    sudo tcpdump -i eth3 -nq -A -vvv  host 172.16.2.5 and port 8041 -w data.pcap

    2、对于不出栈的包抓取

    sudo tcpdump -i lo -nq -A -vvv  port 8041 -w data.pcap


    一、概述

    顾名思义,tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

    # tcpdump -vv

    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

    11:53:21.444591 IP (tos 0x10, ttl  64, id 19324, offset 0, flags [DF], proto 6, length: 92) asptest.localdomain.ssh > 192.168.228.244.1858: P 3962132600:3962132652(52) ack 2726525936 win 1266

    asptest.localdomain.1077 > 192.168.228.153.domain: [bad udp cksum 166e!]  325+ PTR? 244.228.168.192.in-addr.arpa. (46)

    11:53:21.446929 IP (tos 0x0, ttl  64, id 42911, offset 0, flags [DF], proto 17, length: 151) 192.168.228.153.domain > asptest.localdomain.1077:  325 NXDomain q: PTR? 244.228.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. (123)

    11:53:21.447408 IP (tos 0x10, ttl  64, id 19328, offset 0, flags [DF], proto 6, length: 172) asptest.localdomain.ssh > 192.168.228.244.1858: P 168:300(132) ack 1 win 1266

    347 packets captured

    1474 packets received by filter

    745 packets dropped by kernel

    不带参数的tcpdump会收集网络中所有的信息包头,数据量巨大,必须过滤。

    二、选项介绍

    -A 以ASCII格式打印出所有分组,并将链路层的头最小化。

    -c 在收到指定的数量的分组后,tcpdump就会停止。

    -C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。

    -d 将匹配信息包的代码以人们能够理解的汇编格式给出。

    -dd 将匹配信息包的代码以c语言程序段的格式给出。

    -ddd 将匹配信息包的代码以十进制的形式给出。

    -D 打印出系统中所有可以用tcpdump截包的网络接口。

    -e 在输出行打印出数据链路层的头部信息。

    -E 用spi@ipaddr algo:secret解密那些以addr作为地址,并且包含了安全参数索引值spi的IPsec ESP分组。

    -f 将外部的Internet地址以数字的形式打印出来。

    -F 从指定的文件中读取表达式,忽略命令行中给出的表达式。

    -i 指定监听的网络接口。

    -l 使标准输出变为缓冲行形式,可以把数据导出到文件。

    -L 列出网络接口的已知数据链路。

    -m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次,以导入多个MIB模块。

    -M 如果tcp报文中存在TCP-MD5选项,则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。

    -b 在数据-链路层上选择协议,包括ip、arp、rarp、ipx都是这一层的。

    -n 不把网络地址转换成名字。

    -nn 直接以IP和端口号显示,而非主机与服务器名称。

    -N 不输出主机名中的域名部分。例如,‘nic.ddn.mil‘只输出’nic‘。

    -t 在输出的每一行不打印时间戳。(-tt   -ttt)

    -O 不运行分组分组匹配(packet-matching)代码优化程序。

    -P 不将网络接口设置成混杂模式。

    -q 快速输出。只输出较少的协议信息。

    -r 从指定的文件中读取包(这些包一般通过-w选项产生)。

    -S 将tcp的序列号以绝对值形式输出,而不是相对值。

    -s 从每个分组中读取最开始的snaplen个字节,而不是默认的68个字节。-s 0表示不限制长度,输出整个包。

    -T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)和snmp(简单网络管理协议;)。

    -t 不在每一行中输出时间戳。

    -tt 在每一行中输出非格式化的时间戳。

    -ttt 输出本行和前面一行之间的时间差。

    -tttt 在每一行中输出由date处理的默认格式的时间戳。

    -u 输出未解码的NFS句柄。

    -v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。

    -vv 输出更详细的信息。

    -vv 输出详细的报文信息。

    -w 直接将分组写入文件中,而不是不分析并打印出来。 (输出的.pcap文件可以在windows中用wireshark打开,进行进一步分析)

    要让wireshark能分析tcpdump的包,关键的地方是 -s 参数, 还有要为 -w保存输出文件。

    -X 以及-XX,以16进制与ASCII方式输出,即可读方式显示数据包,适合http、memcached ascii等明文传输的协议,可以看到内容;

    三、tcpdump的表达式介绍

    表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。

    在表达式中一般如下几种类型的关键字:

    第一种是关于类型的关键字,主要包括host,net,port,例如 host 210.27.48.2, 指明 210.27.48.2是一台主机,net 202.0.0.0指明202.0.0.0是一个网络地址,port 23 指明端口号是23。如果没有指定类型,缺省的类型是host。

    第二种是确定传输方向的关键字,主要包括src,dst,dst or src,dst and src, 这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是 210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0。如果没有指明方向关键字,则缺省是src or dst关键字。

    第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI (分布式光纤数据接口网络)上的特定的网络协议,实际上它是”ether”的别名,fddi和ether 具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。 其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump 将会 监听所有协议的信息包。

    除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less, greater, 还有三种逻辑运算,取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&’;或运算是’or’ ,’||’; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

    例:

    tcpdump -i lo -nn -A -s 0 tcp -w /home/open/1.txt  port 3306 and src host 112.142.34.24 and dst host 192.168.1.33

    tcpdump -X -n -s 0 tcp port 8033 -i lo

    tcpdump -A -n -x -s 0 tcp port 7430 and host 192.168.3.143

    tcpdump -x -n -s 0 tcp port 9024 or 9021 or 9023 or 9020

    四、输出结果介绍

    下面我们介绍几种典型的tcpdump命令的输出信息

    (1) 数据链路层头信息

    使用命令:

    #tcpdump --e host ICE

    ICE 是一台装有linux的主机。它的MAC地址是0:90:27:58:AF:1A H219是一台装有Solaris的SUN工作站。它的MAC地址是8:0:20:79:5B:46; 上一条命令的输出结果如下所示:

    21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ICE.  telne t 0:0(0) ack 22535 win 8760 (DF)

    21:50:12是显示的时间, 847509是ID号,eth0 <表示从网络接口eth0接收该分组, eth0 >表示从网络接口设备发送分组, 8:0:20:79:5b:46是主机H219的MAC地址, 它表明是从源地址H219发来的分组. 0:90:27:58:af:1a是主机ICE的MAC地址, 表示该分组的目的地址是ICE。 ip 是表明该分组是IP分组,60 是分组的长度, h219.33357 > ICE. telnet 表明该分组是从主机H219的33357端口发往主机ICE的 TELNET(23)端口。 ack 22535 表明对序列号是222535的包进行响应。 win 8760表明发 送窗口的大小是8760。

    (2) ARP包的tcpdump输出信息

    使用命令:

    #tcpdump arp

    得到的输出结果是:

    22:32:42.802509 eth0 > arp who-has route tell ICE (0:90:27:58:af:1a)

    22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)

    22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该分组,arp表明是ARP请求包, who-has route tell ICE表明是主机ICE请求主机route的MAC地址。 0:90:27:58:af:1a是主机 ICE的MAC地址。

    (3) TCP包的输出信息

    用tcpdump捕获的TCP包的一般输出信息是:

    src > dst: flags data-seqno ack window urgent options

    src > dst:表明从源地址到目的地址, flags是TCP报文中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记); data-seqno是报文中的数据 的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明 报文中是否有紧急指针。 Options是选项。

    (4) UDP包的输出信息

    用tcpdump捕获的UDP包的一般输出信息是:

    route.port1 > ICE.port2: udp lenth

    UDP十分简单,上面的输出行表明从主机route的port1端口发出的一个UDP报文 到主机ICE的port2端口,类型是UDP, 包的长度是lenth。

    五、举例

    (1) 想要截获所有210.27.48.1 的主机收到的和发出的所有的分组:

    #tcpdump host 210.27.48.1

    (2) 想要截获主机210.27.48.1 和主机210.27.48.2或210.27.48.3的通信,使用命令(注意:括号前的反斜杠是必须的):

    #tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )

    (3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:

    #tcpdump ip host 210.27.48.1 and ! 210.27.48.2

    (4) 如果想要获取主机192.168.228.246接收或发出的ssh包,并且不转换主机名使用如下命令:

    #tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp

    (5) 获取主机192.168.228.246接收或发出的ssh包,并把mac地址也一同显示:

    # tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn

    (6) 过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头:

    tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24

    (7) 过滤源主机物理地址为XXX的报头:

    tcpdump ether src 00:50:04:BA:9B and dst……

    (为什么ether src后面没有host或者net?物理地址当然不可能有网络)。

    (8) 过滤源主机192.168.0.1和目的端口不是telnet的报头,并导入到tes.t.txt文件中:

    Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt

    ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

    例题:如何使用tcpdump监听来自eth0适配卡且通信协议为port 22,目标来源为192.168.1.100的数据包资料?

    答:tcpdump -i eth0 -nn port 22 and src host 192.168.1.100

    例题:如何使用tcpdump抓取访问eth0适配卡且访问端口为tcp 9080?

    答:tcpdump -i eth0 dst 172.168.70.35 and tcp port 9080

    例题:如何使用tcpdump抓取与主机192.168.43.23或着与主机192.168.43.24通信报文,并且显示在控制台上

    tcpdump -X -s 1024 -i eth0 host (192.168.43.23 or 192.168.43.24) and  host 172.16.70.35
    ---------------------------------------------------------------------------------
    补充:

    SYNOPSIS

           tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]

                   [ -C file_size ] [ -F file ]

                   [ -i interface ] [ -m module ] [ -M secret ]

                   [ -r file ] [ -s snaplen ] [ -T type ] [ -w file

           ]

                   [ -W filecount ]

                   [ -E spi@ipaddr algo:secret,...  ]

                   [ -y datalinktype ] [ -Z user ]

                   [ expression ]

    c 设定抓多少个包后自动停止

    s 指定抓每个包的前多少字节(默认56字节)

    w 保存到某个文件

    r 读文件

    v 显示更详细

    n 不显示主机名,显示IP

    nn 也把端口显示为数值,否则显示端口服务名

    i 指定哪块网卡

    host 指定某个主机

    port 指定某个端口

    net 指定某个网络

    tcp 指定抓tcp包

    udp 指定抓udp包

    ip 指定抓ip包

    icmp 指定抓icmp包

    src host 指定源主机

    dst host 指定目的主机

    dst port 指定目的端口

    实例 抓164访问本地22端口的包 ,单向的

    [root@stu24 ~]# tcpdump -i eth0 -n src host 192.168.0.164 and dst port 22

    抓164ping本地的包

    [root@stu24 ~]# tcpdump -i eth0 -n icmp and src host 192.168.0.164

    当网卡工作于混杂模式里时

    [root@stu24 ~]# tcpdump -i eth0 -n dst port 22 or dst port 80

    有可能抓到别人的包

    有个包可解决...以后说

    两种条件一起抓

    [root@stu24 ~]# tcpdump -i eth0 -n 'src host 192.168.0.164 and dst port 22' or 'src host 192.168.0.4 and dst port 80'二者等价

    [root@stu24 ~]# tcpdump -i eth0 -n \(src host 192.168.0.164 and dst port 22\) or \(src host 192.168.0.4 and dst port 80\)

    老师笔记

    tcpdump -i eth0

    tcpdump -i eth0 -v -n

                          -v 显示包含有TTL,TOS值等等更详细的信息

          -n不要做IP解析为主机名

         -nn不做名字解析和端口解析

    更有针对性的抓包:

    针对IP,网段,端口,协议

    [root@ ftp]# tcpdump -i eth0 -vnn host 192.168.0.154

    [root@ ftp]# tcpdump -i eth0 -vnn net 192.168.0.0/24

    [root@ ftp]# tcpdump -i eth0 -vnn port 22

    [root@ ftp]# tcpdump -i eth0 -vnn  udp

    [root@ ftp]# tcpdump -i eth0 -vnn icmp

    [root@ ftp]# tcpdump -i eth0 -vnn arp

    [root@ ftp]# tcpdump -i eth0 -vnn ip

    [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154

    [root@ ftp]# tcpdump -i eth0 -vnn dst host 192.168.0.154

    [root@ ftp]# tcpdump -i eth0 -vnn src port 22

    [root@ ftp]# tcpdump -i eth0 -vnn src host 202.106.0.254 and dst port 22

    [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22

    [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22

    [root@ ftp]# tcpdump -i eth0 -vnn \( src host 192.168.0.2 and dst port 22 \) or   \( src host 192.168.0.65 and dst port 80 \)

    [root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 tcp

    [root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 host  202.106.0.258

    [root@ ~]# tcpdump -ieth0 -vnn -r  /tmp/fil1 tcp

    [root@ ~]# tcpdump -ieth0 -vnn -w  /tmp/fil1 -c 100

    展开全文
  • 抓包分析

    2019-06-23 22:23:48
    抓包分析 用Fiddler进行抓包分析 抓取HTTPS数据包 怕取腾讯视频评论 所谓抓包分析,就是网站的传输的数据包,数据会隐藏在网址的源代码,或者不在源代码中,所以要通过抓包分析,去抓取哪些隐藏起来的信息。 ...

    抓包分析
    用Fiddler进行抓包分析
    抓取HTTPS数据包
    怕取腾讯视频评论
    所谓抓包分析,就是网站的传输的数据包,数据会隐藏在网址的源代码,或者不在源代码中,所以要通过抓包分析,去抓取哪些隐藏起来的信息。
    下载Fiddlers,在对应的浏览器里面安装,在高级,选择使用代理服务器。爬虫抓取工具,比如去分析淘宝的评论,在fiddler中找到评论的url,复制到文档上,并且进行分析,找到他的规律,比如actionicon为编号为多少的商品,以及页码为多少的商品,以及分析规律,用另外一个浏览器打开。看看是否为商品的评论,然后通过正则表达式,进行分析和抓取。
    爬去腾讯视频的评论,用fiddler,打开评论都是uuu
    在这里插入图片描述
    其实这些都是unicode编码,发现这些数字都是uuuu里面的title,可以用引号引起来,然后前面加上u进行解码

    在这里插入图片描述
    在这里插入图片描述
    先找到last:对应的id,然后进行爬取,再通过正则pat=匹配content,
    用循环取爬去,爬取的有unicode编码,则有一些需要转换位unicode
    eval(“u”+“comid”)

    展开全文
  • PC客户端抓包分析工具Fiddler+Proxifer

    万次阅读 2018-09-02 01:56:29
    开篇:要想实现写爬虫,抓取到数据,首先我们应该分析客户端和服务器的请求/响应,前提就是我们能监控到客户端是如何与服务器交互的,下面来记录下常见的三种情况下的抓包方法 1.PC端浏览器网页抓包 网页板抓包是...

    1.PC端浏览器网页抓包
    网页板抓包是最简单和常见的,Google/Firfox/IE等浏览器自带的开发者调试工具(F12)就可以满足一部分需求,如果在请求前和响应后最些处理,修改浏览器发出的请求数据和修改服务器相应的数据,用F12开发这工具,就不能满足我们的需求,这里引入Fiddler抓包工具,可以理解为本地的代理服务器,实现转发客户端和服务器的请求和响应
    设置Fiddler:
    打开Fiddler,在菜单栏,打开Tools --Options,前三个选项卡设置下,OK,默认的代理设置:127.0.0.1:8888
    这里写图片描述

    这里写图片描述
    这里写图片描述
    然后在浏览器端设置代理:127.0.0.1:8888,可抓取到网页请求/响应,后续可以按需要在Fiddler端实现需求,设置断点,过滤请求,修改请求数据,修改响应数据,捕获JS

    2.App抓包
    手机端App抓包用Fiddler同样很简单,和上面PC浏览器抓包方式差不多,手机端要和PC在同一个局域网,手机Wifi设置代理,IP是PC机器的IP地址,比如:64.35.86.12,端口号是FIddler设置的端口号,一般都是8888,这样手机端的所有网络/响应请求都要经过FIddler抓发,这样我们就可以针对某些链接做分析

    3.PC端(C/S)抓包
    C/S程序抓包需要借助Proxifer
    Proxifier是一款功能非常强大的socks5客户端,可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。
    由于一般的C/S客户端不能设置代理,FIddler检测不到数据,通过Proxifer来实现把所有的请求抓发给Fiddler,这样就可以在Fiddler分析客户端请求。
    Proxifer设置:
    设置很简单,下图所示,两步就OK
    这里写图片描述
    a).设置代理服务器和Fiddler代理设置匹配
    这里写图片描述
    b).设置代理规则
    默认的Default,我们可以不管
    这里写图片描述
    点击添加
    名称:Fiddler.exe
    是否有效:是
    选择Fiddler的应用程序文件目录,选择后,确认
    这里写图片描述
    目标主机:本地的Fiddler设置的代理,可以任意
    目标端口:任意
    动作:Direct
    可以打开腾讯视频视频客户端,在Fiddler和Proxifer看下数据
    这里写图片描述
    这里写图片描述

    展开全文
  • wireshark抓包分析

    千次阅读 2020-04-27 09:55:50
    一、ISO五层模型 Frame 125172: 物理层... Internet Protocol Version 4, Src: 互联网层IP头部信息。 Transmission Control Protocol, Src Port: 传输层数据段头部信息,此处是TCP协议。 Hypertext Transfe...

    一、ISO五层模型

    • Frame 125172: 物理层数据帧概况。
    • Ethernet II, Src: 数据链路层以太网帧头部信息。
    • Internet Protocol Version 4, Src: 互联网层IP包头部信息。
    • Transmission Control Protocol, Src Port: 传输层数据段头部信息,此处是TCP协议。
    • Hypertext Transfer Protocol:应用层信息,此处是HTTP协议。

     

    二、各层次分析

    1、物理层的数据帧概况(Frame)

    • Frame 125172: 542 bytes on wire (4336 bits), 542 bytes captured (4336 bits) on interface \Device\NPF_{E0643354-5127-47B3-8346-56317724EE21}, id 0               #125172号帧,线路542字节,实际捕获542字节
    • Interface id: 0 (\Device\NPF_{E0643354-5127-47B3-8346-56317724EE21})         #接口id
    • Encapsulation type: Ethernet (1)                                                                            #封装类型
    • Arrival Time: Apr 17, 2020 12:00:41.047480000 中国标准时间                               #捕获日期和时间
    • [Time shift for this packet: 0.000000000 seconds]                                                #此数据包的时间偏移
    • Epoch Time: 1587096041.047480000 seconds                                                      #新纪元时间
    • [Time delta from previous captured frame: 0.000246000 seconds]                      #此包与前一包的时间间隔
    • [Time delta from previous displayed frame: 0.812755000 seconds]                     #此包与前一帧的时间间隔
    • [Time since reference or first frame: 135.245056000 seconds]                             #此包与第一帧的时间间隔
    • Frame Number: 125172                                                                                         #帧序号
    • Frame Length: 542 bytes (4336 bits)                                                                      #帧长度
    • Capture Length: 542 bytes (4336 bits)                                                                   #捕获长度
    • [Frame is marked: False]                                                                                         #此帧是否做了标记:否
    • [Frame is ignored: False]                                                                                         #此帧是否被忽略:否
    • [Protocols in frame: eth:ethertype:ip:tcp:http]                                                       #帧内封装的协议层次结构
    • [Coloring Rule Name: HTTP]                                                                                  #着色标记的协议名称
    • [Coloring Rule String: http || tcp.port == 80 || http2]                                            #着色规则显示的字符串

     

    2、数据链路层以太网帧头部信息(Ethernet II)

    • Ethernet II, Src: IntelCor_28:34:26 (5c:87:9c:28:34:26), Dst: NewH3CTe_1c:68:01 (90:e7:10:1c:68:01)
    • Destination: NewH3CTe_1c:68:01 (90:e7:10:1c:68:01)              #目标MAC地址
    • Source: IntelCor_28:34:26 (5c:87:9c:28:34:26)                          #源MAC地址
    • Type: IPv4 (0x0800)                                                                  #类型:IPV4

     

    3、互联网层IP包头部信息(Internet Protocol Version 4)

    • Internet Protocol Version 4, Src: 10.206.146.17, Dst: 10.206.142.12  #IPV4协议
    • 0100 .... = Version: 4                                                                           #互联网协议IPv4
    • .... 0101 = Header Length: 20 bytes (5)                                              #IP包头部长度
    • Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)         #差分服务字段
    • Total Length: 528                                                                                #IP包的总长度
    • Identification: 0xd80e (55310)                                                            #标志字段
    • Flags: 0x4000, Don't fragment                                                            #标记字段
    • Fragment offset: 0                                                                               #分的偏移量
    • Time to live: 128                                                                                  #生存期TTL
    • Protocol: TCP (6)                                                                                  #此包内封装的上层协议为TCP
    • Header checksum: 0x0000 [validation disabled]                                 #头部数据的校验和
    • [Header checksum status: Unverified]                                                 #头部数据的校验和:未经核实
    • Source: 10.206.146.17                                                                          #源IP地址
    • Destination: 10.206.142.12                                                                  #目标IP地址

     

    4、传输层TCP数据段头部信息(Transmission Control Protocol)

    • Transmission Control Protocol, Src Port: 58447, Dst Port: 59992, Seq: 1, Ack: 1, Len: 488
    • Source Port: 58447                                                                          #源端口号
    • Destination Port: 59992                                                                   #目标端口号
    • [Stream index: 44]                                                                            #流索引
    • [TCP Segment Len: 488]                                                                  #TCP段长度
    • Sequence number: 1    (relative sequence number)                       #序列号(相对序列号)
    • Sequence number (raw): 2919587572                                            #序列号(原始序列号)
    • [Next sequence number: 489    (relative sequence number)]        #下一个序列号
    • Acknowledgment number: 1    (relative ack number)                    #确认序列号
    • Acknowledgment number (raw): 3188204174                               #确认序列号(原始)
    • 0101 .... = Header Length: 20 bytes (5)                                          #头部长度
    • Flags: 0x018 (PSH, ACK)                                                                 #TCP标记字段
    • Window size value: 261                                                                  #流量控制的窗口大小
    • [Calculated window size: 66816]                                                    #计算窗口大小
    • [Window size scaling factor: 256]                                                  #窗口大小比例因子
    • Checksum: 0x37bc [unverified]                                                      #TCP数据段的校验和
    • [Checksum Status: Unverified]                                                       #TCP数据段的校验和状态
    • Urgent pointer: 0                                                                           #紧急指针
    • [SEQ/ACK analysis]                                                                        #序列/确认分析
    • [Timestamps]                                                                                 #时间戳
    • TCP payload (488 bytes)                                                               #TCP有效载荷

     

    5、应用层协议(Hypertext Transfer Protocol)

    • GET /record/device/03e18244/2020-04-13/17-30-00.mp4 HTTP/1.1\r\n     #get请求地址
    • [Expert Info (Chat/Sequence): GET /record/device/03e18244/2020-04-13/17-30-00.mp4 HTTP/1.1\r\n]
    • Request Method: GET                                                                                     #请求方法
    • Request URI: /record/device/03e18244/2020-04-13/17-30-00.mp4             #请求URI
    • Request Version: HTTP/1.1                                                                             #http请求版本
    • Host: 10.206.142.12:59992\r\n                                                                       #主机
    • Connection: keep-alive\r\n                                                                            #连接:保持连接
    • Accept-Encoding: identity;q=1, *;q=0\r\n                                                     #接收的编码格式
    • User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36\r\n                                                                                            #浏览器及电脑信息
    • Accept: */*\r\n                                                                                                #接收
    • Referer: http://10.206.142.12:59992/record/device/03e18244/2020-04-13/17-30-00.mp4\r\n             #参照者url
    • Accept-Language: zh-CN,zh;q=0.9\r\n                                                          #接受语言:中文
    • Cookie: ZL_COOKIE=9e403cbd28ea02c1d12607599fc6b00e\r\n                  #cookie
    • Range: bytes=74022912-\r\n                                                                         #请求的数据量范围
    • [Full request URI: http://10.206.142.12:59992/record/device/03e18244/2020-04-13/17-30-00.mp4]   #完整的请求URI
    • [HTTP request 1/1]                                                                                         #请求次数
    展开全文
  • tcpdump抓包分析

    2017-07-10 09:33:29
    tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析
  • ARP协议抓包分析 – wireshark ARP- Address Resolution Protocol协议,即地址解析协议。该协议功能就是将IP地址解析成MAC地址。 在发送数据的时候,只知道目标IP地址,不知道MAC地址,而又不能跨越第二、三层实现...
  • 这一节介绍抓包工作原理,以及在现代企业中要实现7*24小时实时数据包采集该如何的部署相关产品的概要信息。 抓包工作原理 数据包采集过程涉及软件和硬件之间的协作过程,主要分为3个过程。 第一, 采集。数据包在...
  • C# 抓包分析工具 源码

    2019-04-15 10:30:43
    C# 抓包分析工具 源码 RawSocket.cs rawSocket抓包 http抓包
  • TLS抓包分析

    千次阅读 2019-12-01 18:52:05
    TLS(Transport Layer Security, 传输层安全):用于保证Web通信以及其他流行协议的安全。 TLS的前身是安全套接字层(SSL)。 TLSv1.2版本运行在面向流的协议(如TCP)之上。 记录协议提供分片、压缩、完整性保护以及...
  • 准备工具 : 1 Charles :https://www.charlesproxy.com (收费) 2 夜神模拟器 :https://www.yeshen.com (免费) 2 模拟器设置 或者 点击wifi 进入 鼠标长按wifi 进入修改界面(不要点击。...
  • wireshark抓包分析UDP

    2020-06-27 12:10:53
    1、什么是UDP? 传输层有两个协议,之前讨论过的TCP协议和现在要说的UDP协议。二者互为补充,UDP是无连接的协议,它无需经过繁琐的握手就能建立连接并且发送已封装的IP数据包,它能做的事情很少。...
  • TLS1.3抓包分析

    千次阅读 2020-03-12 08:24:47
    一、TLS1.3抓包分析——ClientHello 抓包使用的是WireShark2.6.7,抓包内容为https://tls13.crypto.mozilla.org/(Mozilla的TLS1.3测试页面),浏览器为chrome(需开启TLS1.3),这里我先给出抓包结果: ...
  • Fiddler(二) - 使用Fiddler做抓包分析

    万次阅读 多人点赞 2017-03-26 17:49:40
    Fiddler(二) - 使用Fiddler做抓包分析  上篇博文中已经介绍了Fiddler的原理和软件界面。本文主要针对Fiddler的抓包抓取并处理HTTP请求。   抓包是Fiddler的最基本的应用,以本博客为例,启动Fiddler之后,在...
  • DHCP协议及其抓包分析

    千次阅读 2020-09-08 17:40:48
    DHCP 1.DHCP概述 DHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务器的端口号是67 Application Layer DHCP Transport Layer UDP ...2.DHCP应当可以给用户分配永久的I
  • PPPoE抓包分析

    千次阅读 2019-03-30 18:55:28
    这个周为了解决一个PPPoE的问题,自己专门研究了一下PPPoE,通过抓包文件来详细的说一下 在wireshake中使用"pppoed || pppoes"来过滤其他无关的包,以免干扰分析. PPPoE 可以分为 发现阶段和绘话阶段(LCP,CHAP,NCP...
  • HTTP协议抓包分析

    千次阅读 2019-08-15 15:37:07
    HTTP抓包分析
  • tcpdump抓包命令和wireshark抓包分析

    万次阅读 2018-09-03 16:59:59
    tcpdump抓包命令 tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的...
  • ICMP协议及其抓包分析

    2020-09-29 10:41:45
    ICMP协议及其抓包分析 Internet消息控制协议(ICMP)指定了多种消息类型,其目的就是管理网络。 ICMP的消息分为错误信息、请求信息和响应消息。 一般ICMP数据包格式 ICMP数据包类型字段和代码字段 wireshark抓包...
  • 微信词达人抓包分析

    千次阅读 2020-03-31 17:07:27
    抓包抓包当然需要的就是一个可以抓取数据的工具软件了,提到这里小伙伴们首先想到的应该就是wireshark,这个抓包工具简直是牛X了,抓取来的数据能安照OSI 七层模型把数据分的明明白白啊。不得不说真™牛X。 不过我们...
  • 最近在对手机APP请求的数据包进行抓包分析,但是在一些运用中,使用简单的HTTP或者HTTPS数据包抓包配置无法抓取到我们想要的数据包。这时候就需要我们借助其他工具来抓取APP的数据包。 一、工具 模拟器——雷电 ...
  • 一、工具 wireshark ...提取码:vs59 pop3.pcap ...二、分析 1.用wireshark打开pop3.pcap后,在下图过滤器位置输入ip.addr==183.3.225.42,点击右侧的小箭头。其中183.3.225.42是qq的pop服务器的ip ...
  • 1、正常建立连接过程 环境搭建拓扑图如下: DHCP DISCOVER: 这是 DHCP 客户端首次登录网络时进行 DHCP 过程的第一个报文,用来寻找 DHCP 服务器。 DHCP OFFER: DHCP服务器用来响应DHCP,DISCOVER报文,此报文携带...
  • IP抓包分析实验

    2019-12-31 12:14:47
    在改链路上开启抓包 在R1pingR2 开启wireshark, 查看抓取的ping包的内容 实验解析 修改设备名称 步骤1:在R1上进入系统视图,修改设备名称为R1 步骤2:在R2上进入系统视图,修改设备名称为R2 配置IP地址 ...
  • wireshark抓包分析FTP

    千次阅读 2019-11-06 18:29:19
    首先找到网上一个公用的ftp地址进行抓包测试,这里采用地址(瑞典Umeå universitet于默奥大学公共FTP服务器):ftp://ftp.acc.umu.se/ 打开wireshark,条件过滤:ip.addr==194.71.11.173 首先包28,35,36 tcp...
  • wiresharks抓包分析

    2019-03-21 17:35:48
    https://blog.51cto.com/13444271/2125338 https://blog.51cto.com/13444271/2125339
  • 手机端抓包分析

    2019-12-06 13:37:55
    wireshark是针对网络端口进行抓包的一款工具,由于环境限制,一些通过wifi热点进行抓包的方式并不适用,所以涉及到对手机流量进行分析的时候,可以通过在手机上进行tcpdump,将抓取的pcap包通过wireshark进行分析。...
  • ARP协议抓包分析

    千次阅读 2019-05-22 09:54:53
    一、什么是ARP ARP(地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于OSI将网络分为七层,IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送IP数据包时,需要知道先封装第...

空空如也

1 2 3 4 5 ... 20
收藏数 11,361
精华内容 4,544
关键字:

抓包分析