Networking 临时端口会话伙伴解析
我目前正在调查网络流量。在这里,我想找出哪个客户机与哪个服务器对话。很明显,我可以看看第一个包,看到:Networking 临时端口会话伙伴解析,networking,port,traffic,Networking,Port,Traffic,我目前正在调查网络流量。在这里,我想找出哪个客户机与哪个服务器对话。很明显,我可以看看第一个包,看到: PartyA:38531 ===request===> PartyB:80 PartyB:80 ===response==> PartyA:38531 PartyA:38531 ===request===> PartyB:80 PartyB:80 ===response==> PartyA:38531 PartyA:38531 ===request===&g
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
所以PartyA从Web服务器(PartyB)请求一些东西。
PartyA的端口是随机选择的()。
但是如果包捕获没有捕获第一个包呢?因此,第一个数据包是:
PartyB:80 ===response==> PartyA:38531
....
我如何才能找出谁是服务器,谁是客户端?是否有诸如“临时端口必须高于静态端口”之类的规则?但是,如果端口高于61000,会发生什么情况
我想分析去某个服务器和来自某个主机的流量。但是如果一个新的连接出现了一个新的临时端口呢?有没有办法找出谁是服务器,谁是客户端
希望我的问题很清楚:)
提前感谢这一切都取决于,临时端口在分配它们的机器上是临时的,它们可能在另一个系统或另一个内核上的临时池之外,因此您不应该对它们期望太高 唯一可以99%确定的是,端口的范围是
49151–65535(2^15+2^14-1到2^16−1)
是短暂的,但不限于服务器使用(更重要的是,建议私人使用)
最好专注于静态端口。如果从不同地址到同一端口的活动连接很少,那么它可能是服务器上的静态端口,而不同地址上的不同端口-客户端上的临时端口
如果客户机和服务器之间只有一个会话,那么谁是服务器,谁是客户机并不重要,您只能从它们使用的协议中检索此会话。这一切都取决于,临时端口在分配它们的机器上是临时的,它们可以在其他系统或其他内核上脱离临时池,所以你不应该对他们期望太高 唯一可以99%确定的是,端口的范围是
49151–65535(2^15+2^14-1到2^16−1)
是短暂的,但不限于服务器使用(更重要的是,建议私人使用)
最好专注于静态端口。如果从不同地址到同一端口的活动连接很少,那么它可能是服务器上的静态端口,而不同地址上的不同端口-客户端上的临时端口
如果客户端和服务器之间只有一个会话,那么谁是服务器,谁是客户端并不重要,您只能从它们使用的协议中检索此会话。“如果客户端和服务器之间只有一个会话,那么谁是服务器,谁是客户端并不重要…”。TCP甚至没有客户机/服务器概念。它是对等点之间的连接。客户机/服务器是一个应用层概念。由于我有大流量文件,我发现,我也可以只查找0x2 tcp标志(SYN)并记录建立连接时使用的所有端口。之后,我有一个“服务”端口列表。此外,能够在删除临时端口时生成最常用端口的列表。“如果客户端和服务器之间只有一个会话,那么谁是服务器,谁是客户端都无关紧要……”。TCP甚至没有客户机/服务器概念。它是对等点之间的连接。客户机/服务器是一个应用层概念。由于我有大流量文件,我发现,我也可以只查找0x2 tcp标志(SYN)并记录建立连接时使用的所有端口。之后,我有一个“服务”端口列表。此外,可以在删除临时端口时生成最常用端口的列表。