随笔分类 - Wireshark
摘要:背景 网络数据流格式: 使用wireshark抓包工具,默认存取为pcap文件Pcap文件格式: 文件头: 24B:Magic:4B 标示文件的开始 + Major:2B 当前文件主要的版本号 + Minor:2B+ThisZone:4B当地的标准时间+SigFigs:4B时间戳的精度+Sna...
阅读全文
摘要:TCP数据传输过程TCP乱序重组原理HTTP解析渲染TCP乱序重组TCP具有乱序重组的功能。(1)TCP具有缓冲区(2)TCP报文具有序列号所以,对于你说的问题,一种常见的处理方式是:TCP会先将报文段3缓存下来,当报文段2到达时,再根据序列号进行拼接。2 当然缓冲区也有满的时候,这时接收端会直接丢...
阅读全文
摘要:处理后的数据可直接放到hive或者mapreduce程序来统计网络数据流的信息,比如当前实现的是比较简单的http的Get请求的统计第一个mapreduce:将时间、十六进制包头信息提取出来,并放在一行(这里涉及到mapreduce的键值对的对多行的特殊处理,是个值得注意的地方)主要遇到两个问题: ...
阅读全文
摘要:转自这里1. tcp out-of-order(tcp有问题)解答:1)、 应该有很多原因。但是多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元 因为他们可能是通过不同的路径到达你电脑上面的。2)、 CRM IT 同仁上礼拜来跟我反应一个问题,由他们客服系统藉由邮件...
阅读全文
摘要:过滤器的使用: 可利用“&&”(表示“与”)和“||”(表示“或”)来组合使用多个限制规则,比如“(http && ip.dst == 64.233.189.104) || dns”和ip.src != 10.1.2.3 or ip.dst != 10.4.5.6如果需要将某次捕获记录保存下来方便...
阅读全文
摘要:wireshark点Main Toolbar的倒数第三个按钮。或者点View菜单的Coloring Rules(倒数第三个),可以看到对应的颜色规则。绿色背景(黑字)的是HTTP包,灰色背景(黑字)的是TCP包。黑色背景的比较多,黑底红字的是TCP错误包或者校验和错误的包。wireshark导出数据...
阅读全文
摘要:本来想安装wiresharkyum install wireshark 命令行下使用,包含抓包的基本功能yum install wireshark-gnome 提供wireshark(UI)工具,依赖wireshark RPMroot@localhost: wiresharkwireshark: s...
阅读全文
摘要:好久没更博了,说明学习进度太慢了。一实施目的用抓取的数据包做统计分析,分析出行为的特征信息,用于进一步的网络诊断二实现思路对已经抓取和解析的大量的数据包,进行数据清洗和初步过滤,处理成半结构化的数据,导入到HDFS分布式文件系统中,做进一步的统计分析、信息检索、快速查询。具体采用Hive做统计特征的...
阅读全文
浙公网安备 33010602011771号