Http 识别单一通信
我无法识别TCP建立的通信。 我必须确定第一次完成的通信,例如第一次完成的http通信。 我有一个带有捕获的dump.pcap文件。我知道通信应该通过三次握手(SYN,SYN-ACK,ACK)开始,然后通过双方的双FIN标志关闭通信 但我在那个转储文件里有很多信息。 这就是问题所在。我需要记住哪些事情才能准确匹配一次通信 我考虑了源IP、目标IP、协议,可能还有端口,但我不确定 谢谢你的建议。Http 识别单一通信,http,tcp,wireshark,packet,analyzer,Http,Tcp,Wireshark,Packet,Analyzer,我无法识别TCP建立的通信。 我必须确定第一次完成的通信,例如第一次完成的http通信。 我有一个带有捕获的dump.pcap文件。我知道通信应该通过三次握手(SYN,SYN-ACK,ACK)开始,然后通过双方的双FIN标志关闭通信 但我在那个转储文件里有很多信息。 这就是问题所在。我需要记住哪些事情才能准确匹配一次通信 我考虑了源IP、目标IP、协议,可能还有端口,但我不确定 谢谢你的建议。 对不起,我的英语很差。识别第一次完成的通信是非常特定于协议的。您使用过滤器的方法是正确的。如果您的协议
对不起,我的英语很差。识别第一次完成的通信是非常特定于协议的。您使用过滤器的方法是正确的。如果您的协议是常用的,则有称为协议分析器和过滤器的插件,可以从pcap数据流中为您定位“对话”。如果您知道大约的开始时间和结束时间,这也有助于缩小范围。您表示需要:
tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80
使用tcpdump应用它:
$ tcpdump -nnr myfile.pcap 'tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80'
要识别第一个完成的连接,您必须遵循时间戳
使用像Bro这样的工具读取PCAP将得到答案,因为它将列出每个连接
看到的尝试(完整或不完整):
$bro-r myfile.pcap
$bro cut-d
使用TCP的标志数据来判断是否有成功的握手和中断。
对于其他协议,您可以根据发送和接收的字节计数进行判断
$ bro -r myfile.pcap
$ bro-cut -d < conn.log | head -1
2014-03-14T10:00:09-0500 CPnl844qkZabYchIL7 1.1.1.1 57596 1.1.1.2 80 tcp http 0.271392 248 7775 SF F ShADadfF 14 1240 20 16606 (empty) US US