Linux 网络分析 Wireshark

这篇记录一些 Wireshark 的使用操作,有兴趣的建议看看 《Wireshark网络分析就这么简单》 写的很好,有趣能看进去。

Wireshare 是一个常用的并且很强大网络包分析软件,可以抓包也可以导入tcpdump的导出数据分析。pcap 这个后缀的文件可以用 wireshark 分析。

过滤包

我们打开 Wireshark 后会列出所有的网络接口,可以双击我们需要抓包的网络接口,有个红色的图表点击就会暂停抓取,或者把抓包结果直接拖进来进行分析。但是很多时候会有非常多的包,需要过滤。

包号过滤

frame.number > 23160

ip和端口过滤

如果过滤条件语句写法不对,输入框会是红色的,不过可以继续写,结束还是红的表示不对

# 与 192.0.2.1 交互,并且端口不在 不是80 和 25 
ip.addr == 192.0.2.1 and not tcp.port in {80,25}

 延迟确认

获取超过200毫秒的确认包

tcp.analysis.ack_rtt >0.2 && tcp.len==0

TCP连接失败

建议在客户端和服务器都抓包

在启用Relative Sequence Numbers的情况下,获取握手被对方拒绝的包,例如访问未监听的端口

tcp.flags.reset==1 && tcp.seq==1

过滤重传的握手请求

tcp.flags.syn==1 && tcp.analysis.retransmission

然后再右键,追踪流(TCP) Fllow TCP Stream

常用操作

分析》专家信息》(Analysis > Expert Info)

Charts

关于正常通信的基本信息

1、窗口更新(window update):由接收者发送,用来通知发送者TCP接收窗口的大小已经发生变化

Note

正常通信时的异常数据包

1、TCP重传(retransmission):数据包丢失的结果。发生在收到重传的ACK,或者数据包的重传计时器超时的时候。

2、重复ACK(Duplicate ACK ):当一台主机没有收到下一个期望序列号的数据包时,会生成最近一次收到的数据的重复ACK

3、零窗口探查:在一个零窗口包被发送出去后,用来监视TCP接收窗口的状态

4、保活ACK(ACK to Tcp keep-alive):用来响应保活数据包

5、零窗口探查ACK:用来响应零窗口探查数据包

6、窗口已满:用来通知传输主机接受者的TCP窗口已满

Warning

不是正常通信中的异常数据包

1、上一段丢失:指明数据包丢失。发生在当数据流中一个期望序列号被跳过时。

2、收到丢失数据包的ACK:发生在当一个数据包被确认丢失但在之后收到了这个已经被确认丢失的数据包的ACK数据包

3、保活:当一个连接的保活数据出现时触发

4、零窗口:当接收方已经达到TCP接收窗口大小时,发出一个零窗口通知,要求发送方停止传输数据

5、乱序:当数据包被乱序接收时,会利用序列号进行检测

6、快速重传输:一次重传会在收到一个重复ACK的20毫秒内进行

Error

数据包中的错误,或者解析器解析时的错误

wireshark三板斧

Statistics >> Summary (统计》捕获文件属性)

Analysis >> Expert Infos (分析》专家信息)

Statistics >> Tcp Stream Graph >> Tcp Sequence Graph(Stevens) (统计》TCP流图形》时间序列) 

查看 统计》协议分级统计

可以查看协议所属层级以及协议关联关系

常见信息:

  • TCP Out-of-Order 乱序
  • TCP Dup ACK 重复ACK
  • TCP Fast retransmission 快速重传
  • TCP retransmission 超时重传
  • TCP zerowindow 缓存区已满,发送这个包的地址暂时不能接收数据
  • TCP window Full  把对方发送窗口耗尽,暂时无法发送数据

其他

1500 MTU探测

ping serverip -l 1472 -f 可以测试MTU大致的值,前提是ICMP未被禁用

因为1472+8(ICMP头)+20(IP头) = 1500

-f 表示DF(Don't fragment 不要分片),大于MTU并且不分片就会被丢弃

注意看TTL,表示包经过的路由次数,可以定位包的发送过来的设备,初始值一般是64

Linux 上抓包

tcpdump -i eth0 -n tcp port 80 抓取eth0 的80口的TCP协议

远程后台执行 sudo nohup tcpdump -i eth0 -w test.pcap >/dev/null 2>&1  &

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/655994.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【算法专题】前缀和(附图解、代码)

📑前言 本文主要是前缀和的文章,如果有什么需要改进的地方还请大佬指出⛺️ 🎬作者简介:大家好,我是青衿🥇 ☁️博客首页:CSDN主页放风讲故事 🌄每日一句:努力一点&…

Orion-14B-Chat-Plugin本地部署的解决方案

大家好,我是herosunly。985院校硕士毕业,现担任算法研究员一职,热衷于机器学习算法研究与应用。曾获得阿里云天池比赛第一名,CCF比赛第二名,科大讯飞比赛第三名。拥有多项发明专利。对机器学习和深度学习拥有自己独到的见解。曾经辅导过若干个非计算机专业的学生进入到算法…

WebSocket 整合 记录用法

WebSocket 介绍 WebSocket 是基于tcp的一种新的网络协议,可以让浏览器 和 服务器进行通信,然后区别于http需要三次握手,websocket只用一次握手,就可以创建持久性的连接,并进行双向数据传输 Http和WebSocket的区别 Http是短连接,WebSocket’是长连接Http通信是单向的,基于请求…

互联网加竞赛 基于深度学习的人脸表情识别

文章目录 0 前言1 技术介绍1.1 技术概括1.2 目前表情识别实现技术 2 实现效果3 深度学习表情识别实现过程3.1 网络架构3.2 数据3.3 实现流程3.4 部分实现代码 4 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 基于深度学习的人脸表情识别 该项目较…

HiveSQL题——排序函数(row_number/rank/dense_rank)

一、窗口函数的知识点 1.1 窗户函数的定义 窗口函数可以拆分为【窗口函数】。窗口函数官网指路: LanguageManual WindowingAndAnalytics - Apache Hive - Apache Software Foundationhttps://cwiki.apache.org/confluence/display/Hive/LanguageManual%20Windowin…

【Algorithms 4】算法(第4版)学习笔记 01 - 1.5 案例研究:union-find算法

文章目录 前言参考目录学习笔记1:动态连通性2:UF 实现 1:快速查找 quick-find2.1:demo 演示 12.2:demo 演示 22.3:quick-find 代码实现3:UF 实现 2:快速合并 quick-union3.1&#xf…

【Java 数据结构】二叉树

二叉树 1. 树型结构(了解)1.1 概念1.2 概念(重要)1.3 树的表示形式(了解)1.4 树的应用 2. 二叉树(重点)2.1 概念2.2 两种特殊的二叉树2.3 二叉树的性质2.4 二叉树的存储2.5 二叉树的…

【人工智能课程】计算机科学博士作业二

使用TensorFlow1.x版本来实现手势识别任务中,并用图像增强的方式改进,基准训练准确率0.92,测试准确率0.77,改进后,训练准确率0.97,测试准确率0.88。 1 导入包 import math import warnings warnings.filt…

【力扣经典面试题】80. 删除有序数组中的重复项 II

题目 给你一个有序数组 nums ,请你 原地 删除重复出现的元素,使得出现次数超过两次的元素只出现两次 ,返回删除后数组的新长度。 不要使用额外的数组空间,你必须在 原地 修改输入数组 并在使用 O(1) 额外空间的条件下完成。 说明&…

SpringBoot---创建项目

介绍 此项目SpringBoot使用的是2.6.1版本,由于这个项目使用的是maven聚合方式创建的,所以第二步是我在聚合方式下需要添加的依赖,完整的pom.xml内容放到了最下面。 第一步:创建Maven项目 这个里什么也不勾选,直接点…

JDK Locale的妙用:探索多语言和地区设置的强大功能

文章目录 前言应用场景国际化(Internationalization)格式化(Formatting)日期格式化数字格式化金额格式化百分比形式格式化 获取Locale信息 前言 JDK(Java Development Kit)的Locale类用于表示特定的地理、…

openGauss学习笔记-210 openGauss 数据库运维-常见故障定位案例-谓词下推引起的查询报错

文章目录 openGauss学习笔记-210 openGauss 数据库运维-常见故障定位案例-谓词下推引起的查询报错210.1 谓词下推引起的查询报错210.1.1 问题现象210.1.2 原因分析210.1.3 处理办法 openGauss学习笔记-210 openGauss 数据库运维-常见故障定位案例-谓词下推引起的查询报错 210.…

8-小程序数据promise化、共享、分包、自定义tabbar

小程序API Promise化 wx.requet 官网入口 默认情况下,小程序官方异步API都是基于回调函数实现的 wx.request({method: , url: , data: {},header: {content-type: application/json // 默认值},success (res) {console.log(res.data)},fail () {},complete () { }…

[M思维] lc2808. 使循环数组所有元素相等的最少秒数(思维+哈希表+代码实现)

文章目录 1. 题目来源2. 题目解析 1. 题目来源 链接:2808. 使循环数组所有元素相等的最少秒数 2. 题目解析 一道比较简单的思维题吧,将一维数组首尾连接变成环,会发现相同元素中间的距离 / 2,就是需要感染的秒数。包括首尾连接…

linux 脚本 正则表达式

正则表达式 分类 基础正则表达式:BRE 扩展正则表达式:ERE 编程语言支持的高级正则表达式 BRE 和 ERE的语法基本一致,只有部分元字符(预定义好的带有特殊含义的一些符号)需要特殊对待 grep sed 默认使用的基本正则表达式,grep -E,sed -r,egrep,awk使…

zookeeper源码(07)leader、follower和observer

Leader 构造方法 public Leader(QuorumPeer self, LeaderZooKeeperServer zk) throws IOException {this.self self;this.proposalStats new BufferStats();// 获取节点间通信地址Set<InetSocketAddress> addresses;if (self.getQuorumListenOnAllIPs()) {addresses …

ANAPF有源电力滤波器选型计算——安科瑞赵嘉敏

配电系统中谐波电流的计算涉及很多因素。对于改造项目&#xff0c;可使用专业电能质量分析仪测得所需谐波数据&#xff1b;对于新建项目&#xff0c;设计人员并不能直接获得供电系统的的谐波数据&#xff0c;因此&#xff0c;我司研发人员通过众多不同行业、不同类型的项目&…

MySQL原理(二)存储引擎(2)MyISAM

一、MyISAM介绍 1、介绍&#xff1a; MyISAM引擎是MySQL5.5版本之前的数据库所默认的数据表引擎。每一个采用MyISAM引擎的数据表在实际存储中都是由三个文件组成&#xff0c;分别是frm文件保存表的结构&#xff0c;MYD文件保存表的数据、MYI文件保存表的索引&#xff0c;文件…

Android C++生成complier_command.json

Android C 程序开发现状 在 Android 下开发 C 程序&#xff0c;我见过绝大多数人都是不使用任何语法插件&#xff0c;就靠硬写&#xff0c;写完之后再根据编译报错来修改语法错误。这也怪不得程序员&#xff0c;一方面&#xff0c;Android 使用 Arm 平台的 clang 编译器&#x…

JSP仓储管理系统myeclipse定制开发SQLServer数据库网页模式java编程jdbc

一、源码特点 JSP仓储管理系统系统是一套完善的web设计系统&#xff0c;对理解JSP java编程开发语言有帮助&#xff0c;系统具有完整的源代码和数据库 &#xff0c;系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发&#xff0c;数据库为SQLServer2008&#x…