Http 识别单一通信_Http_Tcp_Wireshark_Packet_Analyzer

Http 识别单一通信

http tcp

Http 识别单一通信,http,tcp,wireshark,packet,analyzer,Http,Tcp,Wireshark,Packet,Analyzer,我无法识别TCP建立的通信。我必须确定第一次完成的通信，例如第一次完成的http通信。我有一个带有捕获的dump.pcap文件。我知道通信应该通过三次握手（SYN，SYN-ACK，ACK）开始，然后通过双方的双FIN标志关闭通信但我在那个转储文件里有很多信息。这就是问题所在。我需要记住哪些事情才能准确匹配一次通信我考虑了源IP、目标IP、协议，可能还有端口，但我不确定谢谢你的建议。对不起，我的英语很差。识别第一次完成的通信是非常特定于协议的。您使用过滤器的方法是正确的。如果您的协议

我无法识别TCP建立的通信。我必须确定第一次完成的通信，例如第一次完成的http通信。我有一个带有捕获的dump.pcap文件。我知道通信应该通过三次握手（SYN，SYN-ACK，ACK）开始，然后通过双方的双FIN标志关闭通信

但我在那个转储文件里有很多信息。这就是问题所在。我需要记住哪些事情才能准确匹配一次通信

我考虑了源IP、目标IP、协议，可能还有端口，但我不确定

谢谢你的建议。

对不起，我的英语很差。

识别第一次完成的通信是非常特定于协议的。您使用过滤器的方法是正确的。如果您的协议是常用的，则有称为协议分析器和过滤器的插件，可以从pcap数据流中为您定位“对话”。如果您知道大约的开始时间和结束时间，这也有助于缩小范围。

您表示需要：

识别特定对话

识别第一次完成的对话

您可以通过筛选来识别特定的TCP或UDP会话连接的5元组：

源IP

源端口

目的IP

目的港

传输（TCP或UDP）

正如Shane提到的，这取决于协议，例如ICMP没有像TCP和UDP这样的端口可以

如下所示的libpcap筛选器适用于TCP和UDP：

tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80

使用tcpdump应用它：

$ tcpdump -nnr myfile.pcap 'tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80'

要识别第一个完成的连接，您必须遵循时间戳

使用像Bro这样的工具读取PCAP将得到答案，因为它将列出每个连接看到的尝试（完整或不完整）：

$bro-r myfile.pcap
$bro cut-d


使用TCP的标志数据来判断是否有成功的握手和中断。
对于其他协议，您可以根据发送和接收的字节计数进行判断
$ bro -r myfile.pcap
$ bro-cut -d < conn.log | head -1
2014-03-14T10:00:09-0500    CPnl844qkZabYchIL7  1.1.1.1 57596   1.1.1.2 80  tcp http    0.271392    248 7775    SF  F   ShADadfF    14  1240    20  16606   (empty) US  US