精华内容
下载资源
问答
  • 网络抓包分析

    2013-11-18 18:46:19
    网络抓包分析,c#源码,测试可用 TCP_Socket
  • WiresharkV2.4.0 网络抓包分析工具 简体中文版 可抓取分析数据包 功能强大 使用简单
  • 网络抓包分析工具,可以分析处理pcap文件
  • 该资源为网络协议原理课程中的网络抓包分析实验的实验报告
  • 分享一个好用的网络网络抓包分析工具-NetAnalyzer

    今天客户现场遇到网络问题,怀疑设备端存在问题,认为接口数据发送不正确,而此时设备有没有数据发送的日志,无法确认问题,这个时候考虑使用网络抓包工具。

    常用的网络抓包工具wireshark是我十几年前使用的,分析数据需要比较专业的分析能力,想着10多年了应该又更好的工具,所以网上搜索发现果然有这样一个工具 --NetAnalyzer

    功能异常强大,完爆wireshark。

    接下来我结合现场问题,展示其强大(这里主要展示还原数据的能力)。

    以下载NetAnalyzer工具抓包为了说明。

    1.打开NetAnalyzer,点击开始进行抓包。

    2.打开NetAnalyzer的官网,进行工具下载。

    3.下载完毕后,停止抓包,并保存抓包文件,或者直接分析。

    4.分析下载的包数据:

    首先根据访问的域名地址twzy.sinaapp.com,找到目标ip:220.181.136.177,使用ctrl+F进行查找。

    找到命中地方,发现连续大量的数据即为下载的数据,可以发现下载使用的是http协议。

    点击下图http:

    如下界面:

    可以获取到下载文件的数据,可以把这些数据保存下来就是我们下载的文件。

    回到我们客户现场问题,利用上述步骤,很轻松的把设备的http请求数据获取到,并且是发送的的原始数据。这里就不展示客户数据了。

    最后,发现使用这个工具,网络数据传输安全问题是一个大问题,应该引起开发者的重视。

     

    展开全文
  • 更加小巧、强大、直观、方便的的网络嗅探器。监听网卡数据包,分析出HTTP数据。数据包列表使用两种颜色区分发送和接收,更直观软件背景色使用草绿色,用
  • 非常好的网络抓包分析工具CommViewv6.0.590正式特别版,推荐使用
  • JAVA写的网络抓包分析程序

    热门讨论 2008-09-03 15:44:34
    JAVA写的网络抓包分析程序 需要先下载jpcap winpcap
  • 13.Iris4.07.1网络抓包分析软件 让你轻松在网上抓包
  • 计算机网络课程设计 WireShark 抓包分析
  • 两个基于winpcap开发的网络抓包分析工具项目,都带有图形界面,带有流量统计功能,包含文档,源码,WinpCap安装包,开发包,配置工具等。
  • 这是一款非常著名的网络抓包分析工具.汉化,有注册机
  • 一款功能强大的商用网络抓包和协议分析软件,它不仅可用来观察网络连线、重要的IP资料统计分析,如TCP、UDP、及ICMP,还可以监控的工作,并可显示内部及外部IP位址、Port位置、主机名称等重要资讯。它可以使网关...
  • 一款很好的网络抓包分析工具---wireshark

    一款很好的网络抓包分析工具---wireshark

    展开全文
  • wireshark+共享网络抓包分析手机APP

    万次阅读 2018-07-05 11:41:01
    Wireshark使用说明Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像...

    Wireshark使用说明

    Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级)

    一、首先为了确保wireshark能够正常使用,在windows系统下我们需要安装好wincap和wireshark(可通过360软件管家下载)。

    安装完成后,需在电脑上创建无线热点(电脑需具备无线网卡),这里有两种创建方式:

    (1)、使用360等软件自带的免费WiFi创建功能

     

    (2)、手动通过dos命令创建无线WiFi:

    1、打开电脑菜单搜索CMD,右键点击以管理远身份运行(这点很重要)

    2、打开无线热点:netsh wlan start hostednetwork

    3、关闭无线热点netsh wlan stop hostednetwork

    4、查询无线热点状态:netsh wlan show hostednetwork

    5、开启无线热点功能:wlan set hostednetwork mode=allow;禁用无线热点功能:netsh wlan set hostednetwork mode=disallow;

    6、修改无线热点名称密码:netsh wlan set hostednetwork mode=allow ssid=mywifi key=12345678mode:是否开启无线热点,disallow为禁用,allow为开启

    ssid=后填无线热点名称 key=后填无线热点密码(必须八位及以上)

    二、无线热点创建完成后,将手机连接至已创建完成的无线热点

     

    三、打开wireshark,点击选择手机已连接的无线网络

    四、正式进入到wireshark网络请求捕获页面后,可正式开始查看捕捉网络请求(wireshark无法捕捉https请求)。

     

        以上就是正对wireshark在测试工作中进行一些基本使用的简单介绍,如文中存在不正确的地方,欢迎指正。

    展开全文
  • TCP Wireshark网络抓包分析和问题解决说明

    万次阅读 多人点赞 2015-05-30 11:46:32
    1、包丢失: 首先wireshark抓包看到提示:TCP Previous segment not captured 说明有数据包缺失: 501: seq=28001, ACK=140 502: seq=30801, ACK=140 (TCP Previous segment not captured) 即数据包seq=29401, ...

    今天遇到问题,更新博客(20200520):

    一、数据包详细信息


    Packet Details面板内容如下,主要用于分析封包的详细信息。

    帧:物理层、链路层

    包:网络层

    段:传输层、应用层

    1)Frame

    物理层数据帧概况

    2)Ethernet II

    数据链路层以太网帧头部信息

    3)Internet Protocol Version 4

    互联网层IP包头部信息

    IP包头:

    4)Transmission Control Protocol

    传输层数据段头部信息,此处是TCP协议

    TCP包头:

    5)Hypertext Transfer Protocol

    应用层信息,此处是HTTP协议

     

    二、着色规则


    Wireshark默认有一组着色规则,可以在Packet Details面板中展开包的帧部分,查看着色规则。

    在View | Coloring Rules中,打开着色规则窗口,可以自己创建、删除、选中、去除。

     

    三、Wireshark提示


    1. Tcp previous segment lost(tcp先前的分片丢失)
    2. Tcpacked lost segment(tcp应答丢失)
    3. Tcp window update(tcp窗口更新)
    4. Tcp dup ack(tcp重复应答)
    5. Tcp keep alive(tcp保持活动)
    6. Tcp retransmission(tcp重传)
    7. Tcp ACKed unseen segument (tcp看不见确认应答)
    8. tcp port numbers reused(tcp端口重复使用)
    9. tcp retransmission(tcp重传)
    10. tcp fast retransmission (tcp快速重传)
    11. TCP Previoussegment lost(发送方数据段丢失)
    12. tcp spurious retransmission(tcp伪重传)

    1)Packet size limited during capture

    说明被标记的那个包没有抓全。一般是由抓包方式引起,有些操作系统中默认只抓每个帧的前96个字节。

    4号包全长171字节,但只有96字节被抓到。

    2)TCP Previous segment not captured

    如果Wireshark发现后一个包的Seq大于Seq+Len,就知道中间缺失了一段。

    如果缺失的那段在整个网络包中找不到(排除了乱序),就会提示。

    6号包的Seq是1449大于5号包的Seq+Len=1+1=1,说明中间有个1448字节的包没被抓到,就是“Seq=1,Len=1448”。

    175: SEQ=4675 大于 174: SEQ=Seq(4381)+0 (len)

    前一个TCP分段没有抓到。 
    在TCP连接建立的时候,SYN包里面会把彼此TCP最大的报文段长度,即MSS标志,一般都是1460.如果发送的包比最大的报文段长度长的话就要分片了,被分片出来的包,就会被标记了“TCP segment of a reassembled PDU”,这些包分片存在同样的ack number,且每个分片的seq number不同。 

    这些分片正常应该是连续接收的,即前一个分片指示的next seq number即为下一个收到的分片的seq number。假如收到的下一个分片的seq number与上一个比不连续的话,wireshark就会将该分片标记为TCP Previous segment not captured。如下图,ack number为705的TCP包被分为多个分片发送,其中有一个长度为1408的分片没有被抓到。 

     

     

    3)TCP ACKed unseen segment

    当Wireshark发现被Ack的那个包没被抓到,就会提示。

    32号包的Seq+Len=6889+1448=8337,说明下一个包Seq=8337。

    而我们看到的是35号包的Seq=11233,意味着8337~11232这段数据没抓到。

     

    4)TCP Out-of-Order

    一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元,因为他们可能是由不同的路径到达你的电脑上面。

    当Wireshark发现后一个包的Seq号小于前一个包的Seq+Len时,就会认为乱序,发出提示。

    3362号包的Seq小于3360包的Seq,所以就是乱序。


    Wireshark判断TCP out-of-order是基于TCP包中SEQ number并非期望收到的下一个SEQ number,则判断为out-of-order。因此,出现TCP out-of-order时,很大可能是TCP存在乱序或丢包,导致接收端的seq number不连续。 
    如下图,第4包数据,在客户端已经收到服务端的SYN ACK后,服务端再次发送了SYN ACK,wireshark将此包标记为out-of-order。

    如下图,第7包数据,本应收到seq number为1366882的TCP包,但却收到了1044834的包,这包数据应该是晚到了,因此wireshark标记为out-of-order。 

     

    5)TCP Dup ACK

    TCP dup ack XXX#X:
    就是接收端要求发送方重复应答XXX序号丢失的报文,#后面X的是表示第几次丢失。

    当乱序或丢包发生时,接收方会收到一些Seq号比期望值大的包。没收到一个这种包就会Ack一次期望的Seq值,提现发送方。

    7号包期望的下一个Seq=30763,但8号包Seq=32223,说明Seq=30763包丢失,9号包发了Ack=30763,表示“我要的是Seq=30763”。

    10号、12号、14号也都是大于30763的,因此没收到一个就回复一次Ack。

    重复ack。 
    当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。如下图, 
    315包,客户端向服务端发送ack=126951的反馈,期望下一包收到seq=126951的TCP包。但下一包接收到的却是seq=128211的TCP包,由于seq不连续,wireshark将该报标记为TCP Previous segment not captured。 
    317包,客户端向服务端重复发送ack=126951的包,第一次重发,#后边带1。 
    318包,客户端收到seq=126951的TCP包。 
    319包,截止到seq=129471的所有TCP包全部收到,因此客户端回复了ack=129471的反馈。 

    6)TCP Fast Retransmission

    当发送方收到3个或以上的【TCP Dup ACK】,就意识到之前发的包可能丢了,于是快速重传它。

    TCP快速重传。 
    TCP协议设定了快速重传机制以避免过多的慢启动对传输速率的影响。快速重传通过接收到3个或3个以上重复的ack反馈触发。快速重传不需要等待RTO超时。如下图。 
    325包,客户端向服务端反馈ack=133251,说明下一个期望收到服务端seq=133251的包; 
    326包,服务端向客户端发送了seq=135771的数据包,与客户端的期望不符,因此客户端在327包重传了ack=133251的包,再次申明期望收到seq=133251的包。Wireshark将重复ack标记为TCP Dup ACK,#后边指明为第几次重传。 
    328包,服务端向客户端发送了seq=137031的数据包,仍然与客户端期望不符,客户端在329包再次重传ack=133251的包。 
    330包,服务端收到3次重复ack,触发快速重传,重传了seq=133251的TCP分片。 

     

    7)TCP Retransmission

    如果一个包真的丢了,又没有后续包可以在接收方触发【Dup Ack】就不会快速重传。

    这种情况下发送方只好等到超时了再重传。

    1053号包发出后,一直没有等到相应的Ack,只能在100多毫秒之后重传了。

    TCP重传。 
    当抓到2次同一包数据时,wireshark判断发生了重传,同时wireshark没有抓到初传包的反馈ack,因此,wireshark判定重传有效,标记为TCP Retransmission。基于软件的判定机制,如果抓包点在客户端的话,TCP重传一般为上行包,因为这时,客户端并没有收到服务端的反馈ack,无从知晓服务端是否收到了初传包,RTO超时后触发客户端重传。此时存在2种情况,即1)服务端收到了初传包,只是下发的反馈ack丢包,客户端没有收到;2)服务端没有收到初传包,因此也就没有下发反馈ack。对于第一种情况,如果抓包点在服务端的话,wireshark很有可能就会把来自客户端的重传包标记为TCP Spurious Retransmission。 
    如下图,红线的TCP包为重传包,wireshark为该包添加了重传原因,是由于TRO超时导致,以及初传包序号45,并给出了当前的RTO超时时间。 

     

    8)TCP zerowindow

    包种的“win”代表接收窗口的大小,当Wireshark在一个包中发现“win=0”时,就会发提示。

    TCP滑动窗口为0。 
    当发送端发包速率大于接收端的接收速率时,会造成接收端TCP window越来越小,当接收端在反馈ack时携带的window size=0时,wireshark标记TCP Zero window。此时发送端将暂停发送数据,直到收到接收端window size!=0的标志。 

     

     

    9)TCP window Full

    此提示表示这个包的发送方已经把对方所声明的接收窗口耗尽了。

    当Wireshark计算出Middle East已经有65535字节未被确认,就会发出此提示。

    【TCP window Full】表示发送方暂时没办法再发送数据

    【TCP zerowindow】表示发送方暂时没办法再接收数据

    TCP window满。 
    是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送,等待新的接收窗口的通告。 
    如下图,客户端向服务端发送的ack反馈,期望下一包收到的seq=288961,但接收窗口仅有960,服务端在收到ack后发送了960字节的数据,TCP window full。注意,len=1004是整个IP包的长度,需要减去IP头44字节,即960字节。 

    10)TCP segment of a reassembled PDU

    Wireshark可以把属于同一个应用层的PDU的TCP包虚拟地集中起来。

    TCP层收到上层大块报文后分解成段后发出去,主机响应一个查询或者命令时如果要回应很多数据(信息)而这些数据超出了TCP的最大MSS时,

    主机会通过发送多个数据包来传送这些数据(注意:这些包并未被分片)。

    11)Time-to-live exceeded(Fragment reassembly time exceeded)

    表示这个包的发送方之前收到了一些分片,但由于某些原因迟迟无法组装起来。

    12. TCP window update

    TCP窗口更新。 
    当接收方的TCP window发生突变时,接收方通过TCP window update消息告知对方当前的接收窗口大小。如下图,TCP window Update同时携带了反馈ack,ack序列号与前一个反馈ack序列号相同,但这并不是重复ack。 
    这里写图片描述

    109行:

    服务端向客户端端发送 tcp window update,表示buffer已经清空。并提示服务端现在已经有足够的window 大小为 43320。

    tcp window update是TCP通信中的一个状态,它可以发生的原因有很多,但最终归结于发送者传输数据的速度比接收者读取的数据还快,这使得接受端的在缓冲区必须释放一部分空间来装发送过来的数据,然后向发送者发送Windows Update,告诉给发送者应该以多大的速度发送数据,从而使得数据传输与接受恢复正常。

     

    13. TCP acked unseen segment

    反馈ACK指向了一个未知的TCP片段。 
    这个意思是说ACK反馈的是一个wireshark上不存在的TCP包。很可能是wireshark漏抓了这个包,但却抓到了对端反馈的该报的ack包。如下图,标记为ack unseen segment的包反馈的ack=2721,看着像是反馈的seq=1361的包,但其实这个ack还反馈了seq=1的包,由于seq=1的包没有抓到,因此wireshark将反馈ack标记为ack unseen segment。从下面的图还可知,由于对端已经反馈了ack=2721,说明发端发送的seq=1的包,对端也收到了,只不过wireshark可能漏抓了而已。 
    这里写图片描述

     

    14. TCP RST

    TCP 重置。 
    是TCP协议结束异常连接的一种方式,通过flags中的reset=1标记。当TCP连接无法通过正常的4次挥手结束时,一方可以通过发送携带reset标志的TCP包结束TCP连接。 
    如下图,发送方通过2个TCP流发送数据,截图中,接收方首先向发送方反馈了TCP window=0,让发送方暂缓发送数据,之后紧接着发送了TCP RST标记,释放了TCP连接。猜测可能接收方程序突然崩溃了,导致缓存区数据没法清空,之后接收方系统发送了TCP reset释放TCP连接。 

     

    问题


    我们遇到的问题:客户端边下载边播放音频, 在弱网的情况下出现严重的卡顿现象:

    卡顿的原因:
    1、http的MTU默认是1400,tcp每个包大小为1400,但是tcp无法确保数据先按序到达.  客户端接收完整个数据完成后,才对数据包进行排序,然后才把有序数据传送给应用层http
    2、TCP包在网络不好的情况下会发生重传现象。
    3、客户端是边接收边播放,即按数据包的seq来播放,如果某个包发生tcp重传,客户端要等到这个包接收了才能继续播放, 因此会发生卡顿现象。
    4、我们wireshark没看到 seq=29401的包,并不一定是服务器没有下发。
         wireshark提示:TCP Previous segment not captured。
         wireshark可能没有抓到这个包。

    解决办法:
    目前边接收边播放,在弱网情况下,tcp发生重传概率很大,就会导致卡顿现象。
    断电续传下载播放就会大大降低卡顿现象。

    1、包丢失:

        首先wireshark抓包看到提示:TCP Previous segment not captured 说明有数据包缺失:

        501: seq=28001, ACK=140

        502:   seq=30801, ACK=140 (TCP Previous segment not captured) 

                  即数据包seq=29401, ACK=140发生丢失了。

        503:   seq=40, ACK=29401 要求服务器发送这个包,

        504:   seq=32201, ACK=140  数据包到达,

        505、507、509(TCP Dup ACK)一直发送给服务器发,告知包已经丢失了,

    2、重传数据包:    结果直到547,服务器才重传tcp包过来。

         等到的这段时间,播放音频肯定卡顿了。

    3、继续要求重传:seq=30801, ACK=140,(550,552,554...TCP Dup ACK).

         其实这个包之前已经发送过,客户端没有缓存这个数据。

    4、再次重传数据包:    结果直到573,服务器才重传tcp包过来。

          客户端播放音频卡顿就发非常严重啦。

    展开全文
  • Android网络抓包分析总结

    千次阅读 2019-06-17 20:33:54
    1,现在公司网络,用fiddler和charles不能抓包,估计不在同一个网段,解决办法现在暂时没想出来 2,android studio的 profile一直报Advanced profiling is unavailable for selected process,配置到sdk 26还是不行 ...
  • Linux下进行网络抓包分析

    千次阅读 2016-07-27 00:03:43
    遇到需要在Linux下抓包分析的问题,便用到了wireshark,非常强大的抓包分析软件,直接在系统里面安装,然后使用明亮抓包即可! 我这里用的是Ubuntu server版,执行安装: 复制代码 代码如下: ...
  • 一个简单的对手机进行网络抓包分析的方法: 1. 编译tcpdump  从tcpdump的官方网站下载源代码并编译  tcpdump官方网站: http://www.tcpdump.org/ 2. 在手机中安装tcpdump  只需要把编译好的tcpdump程序拷贝...
  • Wireshark网络抓包分析——工具

    千次阅读 2018-10-19 08:51:19
    File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 Time:获悉抓包的开始、结束和持续时间 Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 Display:剩下...
  • SIP协议-网络抓包分析与实战

    千次阅读 2019-03-05 13:59:16
    1:最近集团要新建一套全司视频会议系统,目前在搭建和调试测试环境,期间遇到很多问题,最终查出来还是出在网络F5 BIG/IP LC链路负载均衡设备和安全设备IPS入侵检测上,SIP协议没打开,还有把UDP拦截。...
  • Wireshark数据抓包分析 网络协议篇

    热门讨论 2014-09-28 14:11:15
    Wireshark数据抓包分析 网络协议篇
  • tcpdump抓包分析

    2017-07-10 09:33:29
    tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析,tcpdump抓包分析
  • 最新抓包分析TCP.doc

    2020-11-01 19:31:46
    计算机网络实践报告 实践名称 网络抓包分析TCP的处理过程 实践内容和目的 内容网络抓包分析TCP的处理过程以及TCP报文段的格式 目的了解熟悉网络抓包软件掌握TCP的报文格式分析掌握 TCP的处理过程 实践器材设备元件 ...
  • 网络抓包分析

    2012-05-27 15:42:00
    很好的网络抓包分析,由于是课程设计,内容非常详细,非常值得初学者学习。
  • 网络抓包工具分析

    千次阅读 2012-07-02 21:38:11
    网络抓包分析方法大全  我们知道,网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数据包,才能准确分析网络故障。但如果安装的位置不当,采集到的数据包将会存在较大的差别,从而会影响分析的结果...
  • 这是计算机网络课程的QQ抓包分析,包括了QQ登陆时,聊调时,发送文件时,的抓包分析!以及对运输层数据包的分析!
  • sniffer计算机网络抓包实验分析sniffer计算机网络抓包实验分析
  • 一、抓包分析 1.下载工具并安装 如果我们要进行抓包分析,首先,我们必须要有一款抓包的工具,只有用工具抓到包,我们才能进行分析,在这里我介绍一款抓包软件Fiddler,我这里有这个软件的分享: 链接:...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 64,510
精华内容 25,804
关键字:

网络抓包分析