wireshark抓包,丢包分析?

前言

我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能“实效”。

那问题来了,我们怎么识别pcap包是否有丢包呢?接下来,我们通过wireshark来查找pcap文件中的丢包线索。

完整?丢包?

思路1:透过现象看现象。

在真实的网络分析场景中,特别是传输大文件时,经常会发现这样的现象

大文件已经传输到了对端,但是pcap中却存在丢包。

这是为什么呢?网络数据包真的有完整地传输给对端吗?

毋庸置疑,对端收到了完整地文件,数据包时肯定传输到了对端。那为什么wireshark中的pcap包丢包了呢?

我们还是来看看wireshark的抓包原理吧!

wireshark在Linux操作系统中,底层是基于libpcap进行抓包的,tcpdump底层也是基于libpcap的,关于tcpdump的底层的收包原因已经在
tcpdump能进行丢包分析吗?一文中已经分析过了网卡层面的流程和入口,这里就不再赘述了。

由此我们可明确一点:产生上述现象的原因,并不是网卡丢包,因为网卡层面的丢包肯定会影响文件数据的完整性,由此如果我们排除wireshark使用错误产生的丢包,还可能是在下面这个过程中丢的包:

通过deliver_skb来进入 packet_rcv阶段 ,packet_rcv 把收到的skb放到当前的packet socket缓冲区,应用层调用recvfrom就可以将缓冲区中的数据包拷贝到应用层,从而实现libpcap的收包,大致过程如图1所示:

1649427519_6250443f080a60063dfba.jpg!small?1649427519241

图1:libpcap的收包过程

所以我们能够得出wireshark丢包的原因可能是

1、packet socket缓冲区已满导致丢包;

2、从缓冲区拷贝到应用层中断异常导致丢包。

3、当然排除以上两条,也有可能是多路径网络结构允许属于同一 TCP 会话的数据包通过不同的网络接口,导致wireshark捕获的数据包不全。

可是在我们日常的流量分析工作中,往往会根据对端有没有完整地数据包来判断我们用wireshark抓的数据包是否完整,这样做可能会严重影响安全测试的工作效率。那有没有能够快速分析pcap包中是否丢包的方法呢?

答案是有,可以用wireshark的专家信息快速分析丢包的效果

丢包线索

思路2:透过本质看现象。

打开wireshark,在工具栏中点击“分析->专家信息”,如图1、图2所示:

1649428653_625048add29f6f3915329.png!small?1649428654393

图1:wireshark的专家信息位置

wireshark的专家信息中提供了错误、警告、注意、对话这4种信息,选中任意一条都能定位到具体的数据包。

1649428734_625048fe8f4977527c1c1.png!small?1649428734771

图2:wireshark的丢包警告1

1649481900_625118ac6e36c66af388b.png!small?1649481900691

图3:wireshark的丢包警告2

那专家信息中的哪些信息提示了丢包的线索呢?

1、Acked segment that wasn't capture(common at capture start),如图2所示:表示此数据包已经ack了未捕获的数据。 传输正常,接收方已经确认,但 Wireshark 无法在捕获的数据中找到某段数据包, 这通常发生在捕获设备不够快的时候,比如libpcap的接收缓冲区已满,或者由缓冲区向应用层拷贝的时候导致的丢包。

2、TCP Previous segment not captured,如图3所示:表示如果数据包 N 标有未捕获的前一个段,则表示在捕获中没有来自同一 TCP 会话的数据包,其 [seq + 长度≠数据包 N 的 seq ]。最典型的原因是数据包丢失或延迟启动捕获,但也有可能是发送方的 TCP 堆栈有问题,或者是多路径网络结构允许属于同一 TCP 会话的数据包通过不同的网络接口,导致数据包确实到达目的地,但没被 Wireshark 捕获到。

结论

1、1句忠告:不能通过判断数据包是否已被接收端收到来判断pcap中是否丢包。

2、1个小tip:pcap丢包可以通过wireshark的专家信息快速定位和判断。

3、4条经验:由wireshark产生的丢包可能有4种原因,

①packet socket的缓冲区已满导致丢包;

②从缓冲区拷贝到应用层中断异常导致丢包;

③wireshark使用不当,延迟启动捕获导致丢包;

④也有可能是多路径网络结构允许属于同一 TCP 会话的数据包通过不同的网络接口,导致wireshark捕获的数据包不全。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取

 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

同时每个成长路线对应的板块都有配套的视频提供: 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~ 

  读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

特别声明:

此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/16901.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

高稳定数显芯片防干扰抗噪数码屏驱动高亮LED驱动IC-VK16K33A/AA 最大13×3的按键扫描

产品型号:VK16K33A/AA 产品品牌:永嘉微电/VINKA 封装形式:SOP28/SSOP28 原厂,工程服务,技术支持! 概述 VK16K33A/AA是一种带按键扫描接口的数码管或点阵LED驱动控制专用芯片,内部集成有数据…

2024系统架构师软考考题考点回忆版

2024年5月25日系统架构师软考试题/考点梳理 选择题 (75道单选题) 软件测试(P205) 静态测试:是被测程序不运行,只依靠分析和检查源程序的语句、结构、过程来检查程序是否有错误。动态测试:运行被测试程序,对得到的结果与预期的结果进行比较分析,同时分析运行效率和健壮…

RK3568笔记二十七:LPRNet车牌识别

若该文为原创文章,转载请注明原文出处。 记录自训练并在RK3568上部署。 一、介绍 LPRNet的Pytorch实现,一种高性能和轻量级的车牌识别框架。完全适用于中国车牌识别(Chinese License Plate Recognition)及国外车牌识别&#xf…

张大哥笔记:赚钱高手养成计划---如何将一份时间产生N份收入?

我们常说的赚钱的四种境界有哪些? 1.靠体力挣钱 2.靠技能挣钱 3.靠知识挣钱 4.靠平台钱生钱 所以对应的收入的模式就会是下面4种模式: 1.一份时间卖1次 2.一份时间卖N次 3.一份时间溢价卖N次 4.购买他人时间为自己所用 时间对于每个人都是相同的…

书生·浦语大模型全链路开源体系-作业1

视频链接:书生浦语大模型全链路开源体系_哔哩哔哩_bilibili 1. LLM发展 LLM是近年来人工智能领域的一个重要发展方向。大型语言模型的历史可以追溯到2017年,当时OpenAI推出了GPT-1(Generative Pre-trained Transformer)模型,这是一个基于Transformer架构的语言生成…

使用OpenVINO™.CSharp.API.Extensions.PaddleOCR NuGet Package快速实现OCR文本识别

PP-OCR是PaddleOCR自研的实用的超轻量OCR系统,可以实现端到端的图像文本检测。为了在C#平台实现使用OpenVINO™部署PP-OCR模型实现文本识别,让更多开发者快速上手PP-OCR项目,基于此,封装了OpenVINO.CSharp.API.Extensions.PaddleO…

【C语言】数据指针地址的取值、赋值、自增操作避坑

【C语言】数据指针的取值、赋值、自增操作避坑 文章目录 指针地址指针自增指针取值、赋值附录:压缩字符串、大小端格式转换压缩字符串浮点数压缩Packed-ASCII字符串 大小端转换什么是大端和小端数据传输中的大小端总结大小端转换函数 指针地址 请看下列代码&#…

嵩山为什么称为五岳之尊

在此之前,人们心目中的五岳之尊一般是东岳泰山。自此以后,观点一定会改变:五岳之尊是中岳嵩山!且听我慢慢道来。 首先将二者进行一下对比—— 中与东的对比,嵩山居中,泰山居东。东方是太阳升起的地方&#…

谷粒商城实战(029 业务-订单支付模块-支付宝支付2)

Java项目《谷粒商城》架构师级Java项目实战,对标阿里P6-P7,全网最强 总时长 104:45:00 共408P 此文章包含第305p-第p310的内容 代码编写 前端代码 这里使用的是jsp 在这里引用之前配置的各种支付信息 在AlipayConfig.java里 这里是调用阿里巴巴写…

AI大模型日报#0527:豆包大模型披露评测成绩、天工AI日活超100万、AI初创集体跳槽OpenAI

导读:AI大模型日报,爬虫LLM自动生成,一文览尽每日AI大模型要点资讯!目前采用“文心一言”(ERNIE 4.0)、“零一万物”(Yi-Large)生成了今日要点以及每条资讯的摘要。欢迎阅读&#xf…

PyQt5-新手避坑指南(持续更新)

文章目录 一.前言二.开发环境三.坑1.程序没有详细报错就退出了2.qrc资源文件的使用3.QLabel文字自动换行4.图片自适应大小5.checkbox自定义样式后✓不见了6.多线程 四.记录 一.前言 本篇博客整理了一些初学者容易犯的…

技术贴 | Query 物理计划构建指南

在往期博客《执行器 - Query 执行详解》中,我们介绍到到一条 Query 的 SQL 语句需要经过:词法分析 —— 生成 AST 语法树 —— 生成物理计划。本期博客我们接续上篇讲解一条 Query 语句物理计划的具体结构,以及如何构建物理计划。 物理计划是…

Jmeter环境安装(超级简单)

Jmeter的安装是非常简单的,只需要将下载的安装包解压后,就可以运行了!! 一、首先要下载Jmeter 1.1、官网下载: 下载最新版:https://jmeter.apache.org/download_jmeter.cgi https://jmeter.apache.org/…

论文阅读》学习了解自己:一个粗略到精细的个性化对话生成的人物感知训练框架 AAAI 2023

《论文阅读》学习了解自己:一个粗略到精细的个性化对话生成的人物感知训练框架 AAAI 2023 前言 简介研究现状任务定义模型架构Learning to know myselfLearning to avoid Misidentification损失函数实验结果消融实验 前言 亲身阅读感受分享,细节画图解释…

代码随想录算法训练营第四十一天 | 理论基础、509. 斐波那契数、70. 爬楼梯、746. 使用最小花费爬楼梯

理论基础 代码随想录 视频:从此再也不怕动态规划了,动态规划解题方法论大曝光 !| 理论基础 |力扣刷题总结| 动态规划入门_哔哩哔哩_bilibili 动归五部曲 1.dp数组以及下标的含义 2.递推公式 3.dp数组如何初始化 4.遍历顺序(例如先背包再…

java_方法重写(覆盖)

介绍 现在我们来试一下 代码 父类 package b;public class father_ {//father class//4attributepublic void cry() {System.out.println("小动物叫唤");} } package b; 子类 public class graduate extends father_ {public void cry() {//子类方法//非私有的属性和…

有哪些和excel类似或基于excel扩展的软件?

Workfine数字化管理平台是一款易上手、便捷、高效的数字化管理工具,是类excel设计,更容易上手进行企业业务系统的搭建,在信息记录和表格管理方面,比excel更简单易用,在这里,给大家挑几个点展示下~ 首先表格…

一键恢复,U盘被删除文件方法分享

U盘是一种轻巧便携的移动储存工具,在日常的工作以及学习过程中,我们经常性会使用它来传输、备份、存储一些重要文件。然而,随着后期使用频率的增多,会在不同的设备上来回插拔,也就给里面存储文件带来了很大的隐患。比方…

I.MX6ULL的蜂鸣器实验-GPIO输出实验

系列文章目录 I.MX6ULL的蜂鸣器实验 I.MX6ULL的蜂鸣器实验 系列文章目录一、前言二、有源蜂鸣器简介三、硬件原理分析四、程序编写4.1程序编写前提工作4.2程序编写 五、编译下载验证5.1编写 Makefile 和链接脚本5.2编译下载 一、前言 在 I.MX6U-ALPHA 开发板上有一个有源蜂鸣器…

九宫格转圈圈抽奖活动,有加速,减速效果

在线访问demo和代码在底部 代码&#xff0c;复制就可以跑 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><tit…