Networking 临时端口会话伙伴解析_Networking_Port_Traffic

Networking 临时端口会话伙伴解析

networking

Networking 临时端口会话伙伴解析,networking,port,traffic,Networking,Port,Traffic,我目前正在调查网络流量。在这里，我想找出哪个客户机与哪个服务器对话。很明显，我可以看看第一个包，看到： PartyA:38531 ===request===> PartyB:80 PartyB:80 ===response==> PartyA:38531 PartyA:38531 ===request===> PartyB:80 PartyB:80 ===response==> PartyA:38531 PartyA:38531 ===request===&g

我目前正在调查网络流量。在这里，我想找出哪个客户机与哪个服务器对话。很明显，我可以看看第一个包，看到：

PartyA:38531 ===request===> PartyB:80
PartyB:80    ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80    ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80    ===response==> PartyA:38531

所以PartyA从Web服务器（PartyB）请求一些东西。 PartyA的端口是随机选择的（）。但是如果包捕获没有捕获第一个包呢？因此，第一个数据包是：

PartyB:80    ===response==> PartyA:38531
                  ....

我如何才能找出谁是服务器，谁是客户端？是否有诸如“临时端口必须高于静态端口”之类的规则？但是，如果端口高于61000，会发生什么情况

我想分析去某个服务器和来自某个主机的流量。但是如果一个新的连接出现了一个新的临时端口呢？有没有办法找出谁是服务器，谁是客户端

希望我的问题很清楚：）

提前感谢

这一切都取决于，临时端口在分配它们的机器上是临时的，它们可能在另一个系统或另一个内核上的临时池之外，因此您不应该对它们期望太高

唯一可以99%确定的是，端口的范围是

49151–65535（2^15+2^14-1到2^16−1）

是短暂的，但不限于服务器使用（更重要的是，建议私人使用）

最好专注于静态端口。如果从不同地址到同一端口的活动连接很少，那么它可能是服务器上的静态端口，而不同地址上的不同端口-客户端上的临时端口

如果客户机和服务器之间只有一个会话，那么谁是服务器，谁是客户机并不重要，您只能从它们使用的协议中检索此会话。

这一切都取决于，临时端口在分配它们的机器上是临时的，它们可以在其他系统或其他内核上脱离临时池，所以你不应该对他们期望太高

唯一可以99%确定的是，端口的范围是

49151–65535（2^15+2^14-1到2^16−1）

是短暂的，但不限于服务器使用（更重要的是，建议私人使用）

最好专注于静态端口。如果从不同地址到同一端口的活动连接很少，那么它可能是服务器上的静态端口，而不同地址上的不同端口-客户端上的临时端口

如果客户端和服务器之间只有一个会话，那么谁是服务器，谁是客户端并不重要，您只能从它们使用的协议中检索此会话。

“如果客户端和服务器之间只有一个会话，那么谁是服务器，谁是客户端并不重要…”。TCP甚至没有客户机/服务器概念。它是对等点之间的连接。客户机/服务器是一个应用层概念。由于我有大流量文件，我发现，我也可以只查找0x2 tcp标志（SYN）并记录建立连接时使用的所有端口。之后，我有一个“服务”端口列表。此外，能够在删除临时端口时生成最常用端口的列表。“如果客户端和服务器之间只有一个会话，那么谁是服务器，谁是客户端都无关紧要……”。TCP甚至没有客户机/服务器概念。它是对等点之间的连接。客户机/服务器是一个应用层概念。由于我有大流量文件，我发现，我也可以只查找0x2 tcp标志（SYN）并记录建立连接时使用的所有端口。之后，我有一个“服务”端口列表。此外，可以在删除临时端口时生成最常用端口的列表。