2020-01-13老师请教个问题。通过tcpdump 在抓包的时候能否定制策略如果数据包中有某一个head在进行抓包?目的是根据定位缩小抓包数量。作者回复: 目前的tcpdump还做不到,tcpdump的捕获过滤器与wireshark是一样的
2019-12-06为什么mac版本的wireshairk安装一段时间后,再次打开就会非常卡呀作者回复: sorry,没有使用过mac系统。
另外,你是不是设定了输出log?为了解析SSL,设置的log文件?
如果那个log文件很大,那么每次wireshark解析ssl时,会解析log文件,导致很慢。如果是这样,你可以清理下log文件
2019-11-07好蒙啊 为什么tcp[a:b]中为什么b一会儿以4位为单位一会儿又以8位为单位 这还要看a截取到的字节在报文中的语义而定吗??作者回复: 是的,不只TCP是这样,IP也是这样,有些长度是4字节为单位,有些是8字节为单位。这是因为这两个协议都是底层报文,其头部必须把消耗的字节最小化。
你可以再读下86课和115课做个对比,加深了解。
2019-10-04对于get来说,我的抓包是data offset 是0101,然后&0xf0 就是0101 0000,>>2结果就是00010100,这个就是20,所以为什么不直接tcp[20:4]呢?作者回复: 默认TCP头部是20字节,但它是可扩展的,当拥有timestamp等选项时,20个字节后并不是HTTP内容。详见第86课。
2019-08-20抓包后追踪TCP流后由于消息格式是gzip,显示是乱码,网上找了几个帖子基本解决思路都一样, 但是按照文章没有解决问题,见: https://blog.csdn.net/chrycoder/article/details/86525316
这个乱码问题要咋解决呢?作者回复: gzip使用了huffman和LZ77两个压缩算法,基本上压缩后的内容增加或者减少1个字符都会导致完整解压失败。你可以从gzip解压失败由哪个字符导致入手,找到从wireshark里提取错误的位置
2019-08-17关于那个GET过滤:
我得想法是这样的,假设 dataSet的的值是0001,但单位是4个字节,那么0001代表4个字节。
这个时候呢,经过如下运算:
tcp[12:1]取的是从第12个(从0计数)字节开始的1个字节(8位):
dataset:0001(4位)
Reserved:000(3位)
NS: 0(1位)
也就是 0001 0000 & 0xf0 其实也就确定前4位的值就可以了,因为后4位也是0,结果是:
0001 0000 右移两位就是0000 0100 值就是4。可以看到经过运算后确实是4个字节。
结合上面的运算再想想原理应该是这样的:
tcp[12:1] 相当于把dataset 左移动(取了一个字节,而不是前4位)了4位(相当于放大了16倍),实际上我们只需要放大4倍(单位是4字节)的值。这个时候只要右移2位,再缩小4倍,就是我们要的值了。展开作者回复: 是的,不过对https就无能为力了
2019-08-01老师,如何用wireshark抓取本机器上跑的docker发出的数据包呢?
我docker里面的网络设备在宿主机上也有一个对应的网络设备的吧,是不是找到这个网络设备就行了?
2019-06-29请问一下老师, 我还是没太理解在课程中的最后一段为啥tcp[12:1]&0xf0)>>2就能拿到TCP头部后面的内容.拿到DataSet的内容后为啥是右移两位, 不应该根据DataSet里面值的多少判断右移多少位吗作者回复: data offset的值以 4 字节为单位
2
2019-06-16为啥不是12:0呢,这个语法也在RFC规范里吗作者回复: 这个与RFC无关,参见http://biot.com/capstats/bpf.html
1
2019-06-16基于tcp头中的某个字节的值,进行过滤这个有点复杂了,需要对 tcp 协议理解透彻作者回复: 是的,第5部分课程学完后会对TCP头部有详细的了解
2019-06-15RFC规范
在哪里可以看?有没有URI?作者回复: https://github.com/russelltao/geektime-webprotocol,我把课程中用到的RFC及其URL链接都放在这个页面上了