数据包与流量分析教程.pptVIP

4、无法使用显示过滤器 输入了显示过滤器，点Apply，没有反应，出现提示框，原因是显示过滤书写有误，addr后面少了一个等于号，168后面多了个点,如果书写正确的话，显示过滤栏处不会是红色，而是绿色，看右下角小图： 第三章 数据包简单分析案例 下面列举一些例子，讲解基于TCP,UDP的一些应用。 一、UDP数据传输 udp的数据传输前面已讲解过，client向server发送一个udp请求或其它基于udp协议的数据类型包,server会做出回应。 下图是1.219向8请求解析的ip是多少？ 8很快回应结果: 对应的ip是94 二、 TCP连接的建立 tcp的连接建立在前面已经说过。 1.219向1.109的http端口(80)，发送tcp SYN数据包， 1.109回应SYN,ACK，最后1.219发送ACK确认。 下图是tcp三次握手在协议分析器的体现。 三、TCP SYN数据包被防火墙拦截 如果带有SYN标志位的数据被防火墙拦截了，那么tcp连接就建立不成功。 从下图本地抓包可以看出,看不到server端回应的SYN,ACK包。 19向192.1681.34发送带有 SYN标志位的包,过了一段时间之后，没看到1.34的回应，等了3秒左右，又重传一次，又没看到1.34的回应，又过了6秒，又重传一次。 可能导致此种情况的防火墙设置 1. 规则中封了本地ip的所有流量; 2. 规则中封了本地ip的此端口流量; 3. 规则中封了外部ip的所有流量; 4. 防火墙的屏蔽列表。 四、 SYN Flood攻击 看下图，可以看到很多主机向ip发送带有syn标志位的数据包,而且源ip都不一样。 如果出现很多，基本可以断定受到SYN Flood攻击了。 五、 TCP连接被重置 从下图可以看到:6向9发送了TCP 请求建立包， 但9并没有回应SYN,ACK包，而是RST,ACK包，说明服务器拒绝这个连接，可能原因是服务器没有开启网站80端口。 六、 TCP会话超时 TCP连接都有一个会话，金盾防火墙参数设置中的连接空闲超时，也是这个意思。 如果此段时间，tcp双方没有数据传输，会被其中一方主动断开。看下图，tcp三次握手建立好后，过了60秒，都没有数据传输，被server端断开连接了。 七、网站打开过程(直接ip访问) 在与服务器建立好tcp三次握手后，浏览器会发送GET / 数据包,服务器收到后回应网站主页面给浏览器，浏览器解析这个主页文件，如果这个文件中还有图片的，还会再建立连接去下载图片等。服务器的成功回应代码是HTTP 200 OK. 八、网站打开过程(域名访问) 下图是使用浏览器打开公司主页，抓取的数据包。 第52: 1.219首先向8请求 对应的ip是多少？ 第53: 8回应1.219域名对应的ip是20 第54: 因为域名ip解析成功，所以1.219接着发起tcp连接请求。 九、网站主页请求失败 看下图 ，tcp三次握手已经建立成功，同时客户端也发出GET / 数据包，但一段时间后，服务器没有回应,且 GET /数据发送了好几次，说明GET /数据包被拦截了，或服务器的回应数据包被拦截了。 可能导致此种情况的防火墙设置 做规则封了GET /; 做规则封了服务器的回应数据; 防火墙开启域名审计功能; 防火墙tcp端口保护设置有误; 其它情况。 十、网站无法访问 访问网站过程: 首先对要访问的域名通过dns服务器，解析成ip地址，再建立这个ip的tcp连接。 访问抓包截图 谢谢! 第一章 协议简介 更新时间：2010/02/06 一、TCP协议简介 TCP（Transmission Control Protocol)的简写，中文译名为传输控制协议 。位于OSI中的传输层。 传输层主要为两台主机上的应用程序提供端到端的通信。在 TCP/IP协议族中，有两个互不相同的传输协议：TCP（传输控制协议）和UDP（用户数据报协议） 。 TCP为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层，确认接收到的分组，设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端的通信，因此应用层可以忽略所有这些细节。 像我们平时使用浏览器打开网站，远程桌面连接都使用TCP协议。 1. TCP连接的建立 建立一个 tcp连接，需要建立三次握手，看左图： client第一次发送一个带有SYN标志位的包到达server,server回应SYN,ACK标志位，最后client回应ACK,连接建立完成。 2. TCP数据的传输 Tcp将应用进程交付给自己的数据分成很多小数据段，每个数据段的最大值是MSS（Maxitum Segment Size,最大传输大小