数据流重组分析技巧分享

老金 · 发表于 2014-7-25 21:04:41

o(∩_∩)o 哈哈
很多网络管理员在初次使用数据包分析工具的时候，都会很困惑：面对海量的数据包，我该从何下手去查找问题。虽然，我们进行的是“抓包（packet）”，但如果直接面对数据包，工作量将非常复杂、庞大。如果我们从“数据流（flow）”的角度出发，将繁杂的数据包归入对应的TCP数据会话流中，就能化繁为简，从TCP会话流中分析通信双方每个数据包之间的上下关联性，对比同一个TCP数据流在不同节点的时延、丢包、重置和应用层代码等信息，快速的定位问题。
因此，我们对数据包分析工具的要求不仅仅是简单的抓包、解码，没对应用流程复杂的网络分析更需要一系列的技术要求：
 “数据流（FLOW）”的识别：通过源目标IP地址、源目标TCP/UDP端口号和协议的五元组信息识别属于同一对TCP会话的数据包；
 “数据流”重组：根据每个数据包的五元组信息和TCP序列号，将同一个TCP通信对的数据包用会话时序图的方式重组；
 关键指标记录：在时序图中标识出每个数据包之间的时延、丢包、重传、ACK重复和重置等TCP交互的关键指标，定位是哪个方向的网络或应用问题；
 应用层语句识别：识别通用的TCP/UPD应用层信息（如web、DNS、邮件和数据库等应用），从而定位到响应时延大、响应失败的应用层语句。

游客，如果您要查看本帖隐藏内容请回复

中到大鱼 · 发表于 2014-7-28 09:15:49

楼主发的好简略里面两个案例分享支持

网络盒子 · 发表于 2014-7-28 09:48:10

好好学习天天向上

论坛小妞子 · 发表于 2014-7-28 10:32:15

万恶的回复下载

jishuren · 发表于 2014-7-28 11:26:05

有案例分享不，呵呵

善变的心 · 发表于 2014-7-28 14:20:02

回复贴

pwn198751 · 发表于 2014-7-28 14:25:08

谢谢楼主分享

大事小事 · 发表于 2014-7-29 09:04:00

非常感谢

hacker_an · 发表于 2014-7-29 13:14:15

苏打撒旦法拉拉的方式

redhat9i · 发表于 2014-7-29 15:13:58

学习一下

我是宅男同学 · 发表于 2014-7-29 17:28:32

学习学习

zcwscm · 发表于 2014-7-30 17:27:16

你好，虽然数据流重组了，但是因为本身数据由编码器加密后，所重组的还有用吗?

loger2010 · 发表于 2014-8-10 16:16:33

谢谢分享

Franky20141220 · 发表于 2014-12-19 15:43:13

轻轻巧巧轻轻巧巧轻轻巧巧轻轻巧巧轻轻巧巧轻轻巧巧轻轻巧巧请求权

goodboytong · 发表于 2015-1-19 21:18:05

好好学习天天向上

gzhill3 · 发表于 2015-1-29 10:34:47

谢谢楼主分享

tayiyao · 发表于 2015-1-29 11:46:36

多谢分享！！

58816362 · 发表于 2015-2-15 12:05:59

高手的帖子，重点关注。

bmw1098 · 发表于 2015-3-4 15:05:53

cxylay520 · 发表于 2015-3-13 10:04:44

正好需要!!!!!!!!!

livework · 发表于 2015-3-13 10:27:44

很好的技巧，谢谢分享!

六翼天使 · 发表于 2015-3-13 10:35:54

看看，什么内容

srhklsm · 发表于 2015-7-29 14:55:12

前段时间一直研究tcp协议数据包的分析、重组和还原，有个问题就是http应用里多个请求会复用一个端口号的问题，如果一直在操作网页那么有可能一个会话一直会持续很长一段时间。给判断http数据是否已传输完毕带来问题。

mars27405 · 发表于 2015-9-7 10:45:19

+11111111111111111

hldlinz · 发表于 2015-10-30 21:37:20

看一下看一下

snwxf · 发表于 2015-11-4 20:50:18

看一下看一下

hellokey · 发表于 2016-4-12 08:48:16

学习了。。。

dalong04 · 发表于 2017-5-10 11:54:13

谢谢分享

数据流重组分析技巧分享

本帖子中包含更多资源

评分