• 1+1
    2019-02-18
    wireshark的使用推荐阅读林沛满的《Wireshark网络分析就这么简单》和《Wireshark网络分析的艺术》

    作者回复: 👍 这两本书都不错

    
     22
  • 蓝雾里的部落
    2019-02-18
    林沛满的书都看过,确实写的相当好,都是案例驱动。
    把协议讲的生动有趣就数他。

    作者回复: 👍

    
     11
  • Geek_96e358
    2019-04-13
    之前公司一个内部应用出现页面卡顿,而且每次都是1-2用户反馈(随机),排出了应用本身,服务器,客户端网络问题后,然后让it在用户端抓包传给我,然后用Wireshark分析后,发现有大量虚假重传,后面分析后发现,是用户都在一个Nat网络后面,部分用户时间不一致,同时我们服务器开启了tcp快速回收,导致连接被回收了。后面关闭tcp快速回收后解决。也是第一次用工具分析这种比较复杂的问题。

    作者回复: 👍

     1
     5
  • xiaoyh
    2019-02-19
    tcpdump抓包可以用来处理一些疑难问题的。 如受到了什么类型的攻击,执行了mysql的什么命令,接收以及发送出去了什么数据包通通都可以。像入侵检测如snort工具之类的应该也是对数据包进行抓包分析的,很实用,很强大。

    作者回复: 👍 谢谢分享

    
     5
  • 科学Jia
    2019-03-05
    老师,这个案例写的极其生动:D, 就是问一句,现在我们的项目都是https,那么如果抓包https,tcpdump或者wireshark是否可以解密?因为我看到wireshark解密需要private key,但是private key涉及安全问题,肯定都拿不到,那么你们遇到抓包https后解析是怎么做的呢?

    作者回复: 嗯,证书解密是最简单的方法,也可以使用 MitM(Man-in-the-middle)方法

     1
     4
  • 明翼
    2019-02-18
    老师wireshark有个命令行版本tshark,wireshark是通过一个叫dump的进程抓包管道方式发送给tshark解析的,不过tshark的命令项有点多,不是太好用

    作者回复: 👍 没有图形界面的时候,tshark也是个选择

     1
     4
  • bzadhere
    2019-03-06
    "如果看了这个你还是不会用Wireshark,那就来找我吧" ----这是在网上可以找到最牛逼的资料

    https://www.dell.com/community/%E6%95%B0%E6%8D%AE%E5%AD%98%E5%82%A8%E8%AE%A8%E8%AE%BA%E5%8C%BA/%E5%A6%82%E6%9E%9C%E7%9C%8B%E4%BA%86%E8%BF%99%E4%B8%AA%E4%BD%A0%E8%BF%98%E6%98%AF%E4%B8%8D%E4%BC%9A%E7%94%A8Wireshark-%E9%82%A3%E5%B0%B1%E6%9D%A5%E6%89%BE%E6%88%91%E5%90%A7-8%E6%9C%886%E6%97%A5%E5%AE%8C%E7%BB%93/td-p/7007033
    展开

    作者回复: 谢谢分享

    
     3
  • kissingers
    2019-03-07
    林沛满的书不错,EMC 大牛值得推荐。
    Fiddler,工具也了解过,微软的人写的,支持https (man in middle),能修改请求和响应数据包。
    另外老师能讲讲:linux 主机上怎么提高数据转发性能吗?

    作者回复: 优化方法里面有提到

    
     2
  • 潘政宇
    2019-02-21
    老师好,为什么ping命令使用PTR信息,ping一个域名的时候,直接dns查询得到A记录ip地址,然后ping这个ip就行啊,为什么使用反向解析?

    作者回复: 不只是ping,大部分输出中包含名字的工具都支持反向解析,这是为了更直观展示结果(毕竟我们熟悉的都是域名而不是IP)。

    
     2
  • Griffin
    2019-03-24
    Web的问题推荐 MITM啊

    作者回复: 嗯嗯,谢谢补充

    
     1
  • ninuxer
    2019-02-22
    打卡day40
    使用姿势跟老师的一样,都是tcpdump抓包后,拿到图形界面分析,如果是web问题,还会用下fiddler来分析

    作者回复: 嗯嗯,fiddler主要用于HTTP

    
     1
  • 我来也
    2019-02-18
    [D38打卡]
    以前都是在windows上用Wireshark,想不到linux下也有Wireshark.
    不过平常维护的linux只能用终端登录,在终端中还是用tcpdump.

    今天看了专栏,才发现,可以用tcpdump抓包,然后用Wireshark来展示.这个厉害了.

    作者回复: 嗯 复杂的场景还是用Wireshark更方便些

    
     1
  • kissingers
    2019-09-23
    老师,有没有碰到过tcpdump 抓包本身就丢包,即tcpdump 本身丢包了?
    
    
  • 哈哈哈哈哈哈哈哈
    2019-09-15
    老师 对线上服务进行tcpdump会影响性能吗
    
    
  • wking
    2019-09-08
    老师,有没有工具抓取指定某个url请求tcp包?
    
    
  • Boy-struggle
    2019-04-23
    老师,最近我们遇到了一个关于vsftp问题,客户端返回错误码为28,官方解释是数据连接超时,到不清楚到底是从客户端分析还是服务端分析,我们用的是被动模式vsftp

    作者回复: tcpdump抓包看看?可以先试试客户端抓包,如果还是没有线索就两端抓包对比看看

    
    
  • 大坏狐狸
    2019-04-10
    由于TCP连接是全双工的,因此每个方向都必须单独进行关闭。这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接。收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据。首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭。
    (1) TCP客户端发送一个FIN,用来关闭客户到服务器的数据传送。
    (2) 服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。
    (3) 服务器关闭客户端的连接,发送一个FIN给客户端。
    (4) 客户端发回ACK报文确认,并将确认序号设置为收到序号加1。


    老师这个是百度百科的。请问第一个抓包的时候有FIN 没说有ACK ,但是上图中ACK=y+1; 而你的(Wireshark TCP 4-times close 示例 这句话的连接的图片,也是没有ACK的 。但是平常抓包确实会看到ACK。。。那老师 到底带不带ACK,第一次FIN的时候?)
    展开

    作者回复: 文中有讲到的,在四次挥手的图后面

    
    
  • 付坤
    2019-04-03
    工具很用法简单,最重要的是要了解TCP相关的基础知识,否则能抓到包,也看不出问题和原因来。
    感谢老师的分享,很受益,需要再巩固下基础知识。
    
    
  • 如果
    2019-04-02
    DAY38,打卡
    
    
  • Griffin
    2019-03-24
    老师问个问题,我man tcpdump搜索-nn没找到结果,只有-n的介绍。我搜索了下发现在linuxquestions.org上有人问,并且回答者也是用的man,结果有-n和-nn的介绍。是我的man版本不对么?系统版本是18.04.1

    作者回复: 应该是版本的问题,比如https://linux.die.net/man/8/tcpdump 这儿就有

    
    
我们在线,来聊聊吧