注册
登录
通讯技术
确定单一沟通
返回
确定单一沟通
作者:
时间
发布时间:
2024-12-09 05:54:25 (1月前)
转自:
<div class =“excerpt”> 我有识别问题 <span class =“result-highlight”> 通讯 </跨度> 由TCP建立。 我必须先确定完成 <span class =“result-highlight”> 通讯 </跨度> ,例如第一个完整的http <span class =“result-highlight”> 通讯 </跨度> 。 我有转储.pcap文件与捕获 。我知道 <span class =“result-highlight”> 通讯 </跨度> 应该从三次握手(SYN,SYN-ACK,ACK)开始,然后关闭 <span class =“result-highlight”> 通讯 </跨度> 来自双方的双重FIN旗帜。 但我有很多 <span class =“result-highlight”> 通讯 </跨度> 在那个 </DIV>
收藏
举报
3 条回复
0#
回复此人
1号
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 你声明你需要: </p> <OL> <LI> 识别特定会话 </LI> <LI> 识别第一个完成的对话 </LI> </醇> <P> 您可以通过筛选来识别特定的TCP或UDP会话 连接的5元组: </p> <OL> <LI> 来源IP </LI> <LI> 源端口 </LI> <LI> 目的地IP </LI> <LI> 目的端口 </LI> <LI> 传输(TCP或UDP) </LI> </醇> <P> 正如Shane所说,这与协议有关,例如ICMP没有这个概念 像TCP和UDP这样的端口。 </p> <P> 像下面这样的libpcap过滤器适用于TCP和UDP: </p> <pre> <code> tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80 </code> </pre> <P> 用tcpdump应用它: </p> <pre> <code> $ tcpdump -nnr myfile.pcap 'tcp and host 1.1.1.1 and port 53523 and dst ip 1.1.1.2 and port 80' </code> </pre> <P> 要识别第一个已完成的连接,您必须遵循时间戳。 </p> <P> 使用像Bro这样的工具来读取PCAP会产生答案,因为它会列出每个连接 尝试看到(完整或不完整): </p> <pre> <code> $ bro -r myfile.pcap $ bro-cut -d < conn.log | head -1 2014-03-14T10:00:09-0500 CPnl844qkZabYchIL7 1.1.1.1 57596 1.1.1.2 80 tcp http 0.271392 248 7775 SF F ShADadfF 14 1240 20 16606 (empty) US US </code> </pre> <P> 使用TCP的标志数据来判断是否有成功的握手和拆除。 对于其他协议,您可以根据发送和接收的字节数进行判断。 </p> </DIV>
编辑
1#
回复此人
biu~额
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 识别第一个完成的通信是高度协议特定的。您使用过滤器走在正确的轨道上。如果您的协议是常用协议,则有一些称为协议分析器和过滤器的插件可以从pcap数据流中找到“对话”。如果您知道大致的开始时间和结束时间,那么也会缩小范围。 </p> </DIV>
编辑
登录
后才能参与评论
