流量分析
关注
分享
扫一扫
文章平均质量分 62
Akura@lan
咸鱼………
展开
-
IP协议及IP分片
步骤执行前几篇文章的脚本3.1,3.2,3.3,创建拓扑,创建虚拟路由,关闭网卡offload在路由器RA上修改tapRA_RB的MTU为1000byte(Maximum Transmission Unit网络上传送的最大数据包)ip netns exec RA ifconfig tapRA_RB mtu 1000在路由器RB上修改tapRB_RA的MTU为1000byteip netns exec RB ifconfig tapRB_RA mtu 1000打开两个终端,分别模拟ns56A和原创 2022-03-30 22:59:33 · 797 阅读 · 0 评论 -
TCP流量控制协议
步骤sysctl -w net.ipv4.tcp_rmem='4096 8192 8192'TCP连接接受缓存参数,限制linux分配的接受缓存为9032字节执行脚本3.1,3.2,3.3,模拟网络ip netns exec ns56A bash模拟ns56A终端ip netns exec ns57C bash模拟ns57C终端在ns56A上创建文件大小10K字节的文件truncate -s 10K 10K.0在ns57c上ε=ε=ε=┏(゜ロ゜;)┛7c抓包ip netns原创 2022-03-30 21:47:53 · 1411 阅读 · 0 评论 -
TCP可靠传输与重传分析
实验步骤sysctl -w net.ipv4.tcp_rmem='4096 65536 65536' 降低缓存数,减少窗口值sysctl -w net.ipv4.tcp_sack=0避免使用sack重传算法然后执行之前的脚本,模拟我上述几篇文章的网络拓扑执行之后,用iptable设置规则,以10%的丢包率模拟丢包ip netns exec RA iptables -I FORWARD -d 192.168.57.254 -m statistic --mode random --proba原创 2022-03-29 21:12:21 · 1450 阅读 · 0 评论 -
TCP协议和连接管理
连接管理先利用truncate命令创建一个大小3500字节文件,命名为3500.0truncate -s 3500 3500.0本地目录也多了一个文件用nc在57c的4499端口打开TCP协议nc -e /bin/sh -lv 4499TCP连接的字符会被发送到57C中执行在56A中nc 192.168.57.254 4499然后在ns56A中可以读取文件,因为是/bin/sh权限了!(pwn题很像)cat 3500.0分析可以看出,套接字对中的端口号是192.168.5原创 2022-03-28 22:43:06 · 1923 阅读 · 0 评论 -
ARP流量包分析
ARP结构根据抓的包,可以填下表ARP缓存策略首先有这样一个结构ns56A往192.168.57.126 也就是ns57Aping了一下,依次在tap56A、tap56B、tapRB_RA、tapRA_RC和tapRC_57A抓包,分别是ns56A,ns56B,RB,RA,RC首先reply告诉了56A,56.1的MAC是哪,这就是56A的下一跳其中在ns56A也会留有缓存而在56B中,没有这条缓存,因为不是它自己的mac,没有和A通信所以只是收到一个广播消息而路由器RB的5原创 2022-03-23 22:02:31 · 404 阅读 · 0 评论 -
UDP协议分析
步骤建立网络拓扑#!/bin/shset -xsysctl -w net.ipv4.ip_forward=1#ip分组转发systemctl stop firewalld.service#关闭linux防火墙sysctl -w net.ipv4.conf.all.rp_filter=0#关闭linux反向校验sysctl -w net.ipv4.conf.default.rp_filter=0systemctl start iptables.service#开启iptable服务sysc原创 2022-03-23 20:52:36 · 3327 阅读 · 1 评论 -
http抓包
步骤输入http.host == 域名得到ip用过滤器输入ip.addr == 得到和目的地址有关的PDU可以点击协议等来选择信息Analyze菜单→ Follow TCP Stream子菜单,跟踪TCP流,选择其中任意一对HTTP请求和响应,分析HTTP请求和响应的格式输入"http.set_cookie or http.cookie使Wireshark显示包含set-cookie的HTTP响应和包含cookie的HTTP请求分析根据网际层的PDU结构可知,其包含source address原创 2022-03-22 16:58:41 · 5214 阅读 · 0 评论 -
虚拟网络环境抓包
概述相当于建立了两个用户为ns1和ns2,再创建一对tap类型的以太网接口,迁移到ns1和ns2后分配ip地址,并将接口设置为up,然后用这两个用户来ping,并在tap1接口抓包。过滤器用过滤器抓包,比如ip.addr == 192.168.50.1可以抓出特定ip地址的包...原创 2022-03-21 20:58:20 · 843 阅读 · 0 评论 -
流量分析入门
前言个人一直对流量分析…正好看到了一些相关书籍资料,自己向前辈师傅们学习以后整理一些资料来总结一下互联网五层模型在计算机网络这门课中介绍了OSI模型及互联网五层模型:在我们使用抓包软件进行流量分析的时候,抓到的包往往含有数据链路层、网络层、传输层,应用层四个部分,其中一部分在传递到不同层面的时候会被丢弃。我们的wireshark抓的包工作在数据链路层,而burpsuite抓的http包则工作在应用层wireshark的用法打开wireshark,可以看到这是我们的一些接口,我现在用的是Wif原创 2021-02-10 00:01:16 · 14408 阅读 · 2 评论