常用过滤规则:过滤IP地址:ip.addr==192.168.47.2过滤目的地址:ip.dst==192.168.43.2过滤源地址:ip.src==59.110.42.77过滤tcp80端口和udp80端口数据(||表示或):tcp.port==80||udp.port==80过滤目的端口为80的数据:itcp.dstport==80过滤源端口为80的数据:tcp.srcport==80过滤协
分类:
其他好文 时间:
2018-03-06 17:48:28
阅读次数:
214
Wiresharkl流量分析 1、图示是对WiFi数据接口的80号端口进行数据捕获,设置混杂模式 过滤表达式设置: IP地址设置过滤 ip.src==191.168.1.102 ip.dst==192.168.1.102 端口号过滤tcp.port==80 只显示TCP源端口的 txp.srcpor ...
分类:
其他好文 时间:
2018-03-02 15:00:40
阅读次数:
181
需求:开发、测试部门需要对准生产和生产数据库进行远程访问。有一阵子,是直MySQL层面接授予最小权限,并限制只允许从公司出口ip访问;iptables层面也是针对数据库端口只允许公司出口ip访问。但是这个样子终究觉得不够放心。后来研究了下MySQL的登录过程(wireshark抓包和参考官方文档),虽然说MySQL实现的登录机制(这里有机会单独说)基本不存在泄露密码的风险(理论上存在被破解的可能,
分类:
数据库 时间:
2018-03-02 12:33:16
阅读次数:
238
###情景通过zabbix监控发现有一个应用和数据库之间存在不定时的流量异常(也不频繁),具体为应用server的入向流量和数据库server的出向流量会有短时间(通常在一分钟左右)的激增,甚至快达到千兆网卡的传输上限。###分析过程通过症状,几乎可以断定是由于某些sql语句需要返回大量数据导致。但这次问题的分析结果确是很不顺利(其中有我前期方法不当的原因)。初次分析:因为在那之前做了一个针对于故
分类:
移动开发 时间:
2018-03-02 12:29:56
阅读次数:
201
VMware下三种网卡(仅主机,桥接,NAT)模式前言:最近在学习利用Wireshark抓包时,朋友遇到了一个棘手的问题:在虚拟机上的两个操作系统之间不能互相通信,无法抓取到两者访问http的包百思不得其解,纠结了好久之后,明白了是两者系统的网卡模式不一样不能通信的缘故。这才发现自己对这三种模式没有清晰的认识,赶紧来学习下。一.桥接模式:示意图:物理机上有一个自身的网卡,虚拟机虚拟一个虚拟网卡,两
分类:
系统相关 时间:
2018-03-01 19:59:43
阅读次数:
316
1、前言 分析木马程序常常遇到很多配置信息被加密的情况,虽然现在都不直接分析而是通过Wireshark之类的直接读记录。 2017年Gh0st样本大量新增,通过对木马源码的分析还发现有利用Gh0st加密方式来传播的源码中的后门。 2、加密思路 控制端:对字符串异或、移位、Base64编码 服务端:对 ...
分类:
编程语言 时间:
2018-02-28 14:41:17
阅读次数:
224
一、小试牛刀**http协议是互联网上应用最为广泛的一种网络协议,它工作在应用层,由请求和响应构成,是一个标准的客户端服务器模型,http是无状态的协议。我们接下来要做的,是通过网络嗅探工具来捕获网络中传输的http包,从分析数据包的角度来学习http协议。二、拉开帷幕1、获取wiresharkhttps://www.wireshark.org/2、筛选HTTP流量1、基于名称的写法#筛选指定域名
分类:
Web程序 时间:
2018-02-27 17:48:06
阅读次数:
199
PING(Packet Internet Groper, 因特网包探索器),用于测试网络是否连通的程序,在Windows、Linux、Unix下都是标配程序,Ping发送一个ICMP(Internet Control Messages Protocol, 因特网信息控制协议)Request,接收方收到后,马上回复一个ICMP Echo(Reply)。
分类:
其他好文 时间:
2018-02-26 11:20:58
阅读次数:
211
PING(Packet Internet Groper, 因特网包探索器),用于测试网络是否连通的程序,在Windows、Linux、Unix下都是标配程序,Ping发送一个ICMP (Internet Control Messages Protocol, 因特网信息控制协议)Request,接收方收到后,马上回复一个ICMP Echo(Reply)。
分类:
其他好文 时间:
2018-02-26 11:16:05
阅读次数:
227
内核中是如何确定arp_ignore和rp_filter的值的? 然后呢 落实到文档中就是: 代码与文档匹配: 所以在做关于arp的试验之前,要先把机器上的/proc/sys/net/ipv4/conf/all/rp_filter和/proc/sys/net/ipv4/conf/all/arp_ig ...
分类:
其他好文 时间:
2018-02-14 10:36:13
阅读次数:
216
