wireshark

TCP Fast Open 定义 TCP Fast Open（TFO）是用来加速连续TCP连接的数据交互的TCP协议扩展，原理如下：在TCP三次握手的过程中，当用户首次访问Server时，发送SYN包，Server根据用户IP生成Cookie（已加密），并与SYN-ACK一同发回Client；当Client随后重连时，在SYN包携带TCP Cookie；如果Server校验合法，则在用户回复ACK前就可以直接发送数据；否则按照正常三次握手进行。 起源 由Google于2011年的论文（http://conferences.sigcomm.org/co-next/2011/papers/1569470463.pdf）中提出，IPV4的TFO已经合入Linux Kernel Mainline，Client内核版本为3.6；Server内核版本为3.7。 Google研究发现TCP三次握手是页面延迟时间的重要组成部分，所以他们提出了TFO：在TCP握手期间交换数据，这样可以减少一次RTT。根据测试数据，TFO可以减少15%的HTTP传输延迟，全页面的下载时间平均节省10%，最高可达40%。 目前互联网上页面平均大小为300KB，单个object平均大小及中值大小分别为7.3KB及2.4KB。所以在这种情况下，多一次RTT无疑会造成很大延迟。 2011年6月，对Google

RTSP协议是TCP/IP协议体系中的一个应用层协议，EasyNVR视频平台即是支持RTSP协议的流媒体服务器，能够自由对接流媒体服务器平台，支持微信、QQ、支付宝等工具，扫一扫直接观看，且不限制观看人数。 EasyNVR视频平台拉取RTSP流时，在使用wireshark抓包取RTP数据包时，如何把RTP传输的视频流保存成视频文件进行播放？ 问题分析: 在EasyNVR拉取摄像头的视频流时，通过wireshark抓包可以看到，EasyNVR与摄像头之间通过RTP传输视频流，那如何确认视频源是否有问题，可以在wireshark抓包的时候，保存摄像头通过RTP协议传输过来的视频流，如何通过wireshark保存RTP数据包成视频文件? 在wireshark安装目录下的init.lua文件中的enable_lua为true 在init.lua的最后加上dofile(DATA_DIR…“rtp_h264_extractor.lua”) 下载rtp_h264_extractor.lua文件: https://github.com/volvet/h264extractor 把rtp_h264_extractor.lua文件放在于init.lua同目录下 打开wireshark后，在wireshark工具菜单栏出现Extract h264 stream from RTP

原文： ： https://www.jianshu.com/p/f9a5b07d99a2 ------------------------------------------------------------------------------------- 1、首先根据Ethernet II类型以太网帧格式可以得知，Ethernet II类型以太网帧的最小长度为64字节，最大长度为1518字节。（另外还有7字节前导同步吗＋1字节帧开始定界符是所有类型的以太网帧格式必要的） 以太网帧格式有四种类型，Ethernet II类型以太网帧格式是我通过WIRESHARK抓包后发现目前网络使用的帧格式类型。 Ethernet II Ethernet II帧格式 一开始我有个问题就是，根据TCP/IP的传输流可以知道，HTTP响应报文是装到TCP报文的数据区，TCP报文又是装到IP报文的数据区，而最后IP报文是装到以太网帧的数据区中。为什么以太网帧的数据区最大长度为1500字节，而HTTP报文最终是放在以太网帧的数据区中，却没有限制HTTP报文的大小？ 2、在WIRESHRAK抓包的时候会发现很多长度为1514的TCP报文，但是这个跟以太网帧的数据区最大长度为1518字节有什么关联吗？而且这个TCP长度为什么是1460而不是1500 ？ image.png

经过了过年的忙碌和年初的懈怠一切的日子，我又开始重新更新了~这是最新的一篇~完整版可以去gitbook（https://rogerzhu.gitbooks.io/-tcp-udp-ip/content/）看到。 如果对和程序员有关的计算机网络知识，和对计算机网络方面的编程有兴趣，虽然说现在这种“看不见”的东西真正能在实用中遇到的机会不多，但是我始终觉得无论计算机的语言，热点方向怎么变化，作为一个程序员，很多基本的知识都应该有所了解。而当时在网上搜索资料的时候，这方面的资料真的是少的可怜，所以，我有幸前两年接触了这方面的知识，我觉得我应该把我知道的记录下来，虽然写的不一定很好，但是希望能给需要帮助的人多个参考。我的计划是用半年时间来写完这一系列文章，这个标题也是我对太多速成文章的一种态度，好了，废话不再多扯了，下面是其中的一节内容，更多内容可以去gitbook上找到。 T CP与UDP 前面对于UDP已经阐述了有一些内容了，UDP可以完成一些数据的传输，那么为什么还要再研究出另外一种传输层协议呢？因为在很多时候，不可靠的传输会造成上面的应用层协议变得毫无意义，而且面对越来越复杂的网络，没有管理控制的传输层协议更是会导致网络拥堵不断加剧直至瘫痪。可以设想一下，UDP就像是寄信，当你把信寄出去的时候，你是无法知道这封信可不可以到达收信人的的，如果说唯一你能做的就是相信邮递机构

一、 什么是 ARP协议（Address Resolution Protocol） ARP协议是地址解析协议（Address Resolution Protocol）是通过解析IP地址得到MAC地址的，是一个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系。 在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有一个协议将IP地址转换为MAC地址，由此就出现了ARP协议，所有ARP协议在网络层被应用，它是网络层与链路层连接的重要枢纽，每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址，在IP层及其以上的层次看来，他们只标识IP地址，从不跟硬件打交道，就像我一样，我做应用层的工作，而不会去写底层驱动，得专门有个同事将驱动写完给我，我只需要知道他提供的API接口就行了，而我就专心处理我的工作，我相信他能把驱动写好，我只需要直接调用即可。 二、工作原 理 每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。

ARP地址解析协议（IP地址--->MAC地址） 地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机与主机之间的通信在物理上实质是网卡与网卡之间的通信，而网卡只认识MAC地址，所以要想实现主机与主机之间的通信，需要知道对方IP地址所对应的MAC地址，完成这一过程的协议就是ARP协议。在具体的网络传输过程中，使用地址解析协议，可根据网络层IP数据包包头中的IP地址信息解析出目标硬件地址（MAC地址）信息，以保证通信的顺利进行。 ARP工作原理 每台主机或路由器都有一个ARP缓存表，用来保存IP地址与MAC地址的对应关系。 以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播arp request，请求包中包含了A主机的ip地址和mac地址。网络上其他主机并不响应ARP询问，直接丢弃，只有主机B接收到这个帧时，才以单播方式向主机A做出回应arp reply，并带上自己的ip和mac地址

网络安全自学篇（一）| 入门笔记之看雪Web安全学习及异或解密示例 网络安全自学篇（二）| Chrome浏览器保留密码功能渗透解析及登录加密入门笔记 网络安全自学篇（三）| Burp Suite工具安装配置、Proxy基础用法及暴库示例 网络安全自学篇（四）| 实验吧CTF实战之WEB渗透和隐写术解密 网络安全自学篇（五）| IDA Pro反汇编工具初识及逆向工程解密实战 网络安全自学篇（六）| OllyDbg动态分析工具基础用法及Crakeme逆向破解 网络安全自学篇（七）| 快手视频下载之Chrome浏览器Network分析及Python爬虫探讨 网络安全自学篇（八）| Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具 社会工程学之基础概念、IP获取、IP物理定位、文件属性社会工程学之基础概念、IP获取、IP物理定位、文件属性 网络安全自学篇（十）| 论文之基于机器学习算法的主机恶意代码 网络安全自学篇（十一）| 虚拟机VMware+Kali安装入门及Sqlmap基本用法 网络安全自学篇（十二）| Wireshark安装入门及抓取网站用户名密码（一） 网络安全自学篇（十三）| Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二） 还在更新中，收藏导航观看更佳 原作者博客；https: //blog.csdn.net

原文来自 SecIN社区 —作者：寅儿 0x01 开源情报收集 样本下载链接： https://app.any.run/tasks/ffc1ecff-e461-4474-8352-551db7e7b06f/ 常用平台:VT，微步，哈勃 app.any.run, joesandbox 图一：VT检测 木马实锤 沙箱跑一下看一下行为： 图二：沙箱行为分析 可以看到用GET请求访问C&C服务器下载了一个二进制binary文件。 点开binary文件查看详情： 图三：恶意binary dump下来wireshark数据包，过滤http请求同样可以发现该二进制文件 图四：抓包分析 查询C&C服务器ip： 图五：ip检测 现在对该恶意软件已经有了初步了了解，下面进行数据包分析，看看能不能找到有用的信息。最直观的看到就是使用了非常见的端口连接，还有发现一个有趣的现象： 图六：数据包分析 竟然是肉鸡主动连接的C&C服务器，让我联想到了CS马。这种手法类似于反弹shell，好处就是可以绕过防火墙限制，如果对方是内网ip，你无法直接发起连接请求，方便持久化控制等等。 0x02 样本基本信息 用exeinfo查壳，标准的32位VC编译的程序 图七：样本信息 用Process Monitor监控行为 图八：软件行为 具体每一项的图略了，大概看了一下读取了注册表的某些键值，设置了某些键值对的值

关于QUIC协议的论文、IETF进展、博客、视频等等 QUIC 的全称是 Quick UDP Internet Connections protocol, 由 Google 设计提出，目前由 IETF 工作组推动进展。其设计的目标是替代 TCP 成为 HTTP/3 的数据传输层协议。熹乐科技在物联网（IoT）和边缘计算（Edge Computing）场景也一直在打造底层基于 QUIC 通讯协议的低时延边缘计算框架 YoMo ，长时间关注 QUIC 协议的发展，遂整理该文集并配以适当的中文翻译，方便更多关注 QUIC 协议的人学习。 在线社区：🍖 discord/quic 维护者：🦖 YoMo QUIC Weekly - 20201209期 Wireshark v3.4.1 发布， 增加了很多与 QUIC 相关的更新 📢 draft-ietf-quic-manageability 讨论了 QUIC 传输协议的可管理性，重点讨论影响 QUIC 流量的网络操作的注意事项，比如，要实现 QUIC 的负载均衡，建议参考该文 📢 Applicability of the QUIC Transport Protocol 讨论了QUIC传输协议的适用性，重点讨论了影响通过QUIC开发和部署应用协议的注意事项，比如，实现0-RTT的过程中要注意的安全问题 w3c WebTransport

前几天发了一个朋友圈，发现暗恋已久的女生给我点了个赞，于是我当晚辗转反侧、彻夜未眠！想着妹子是不是对我有感觉呢？不然怎么会突然给我点赞呢？要不趁机表个白？ 图片来自 Pexels 于是第二天我在心中模拟了多次表白的话语，连呼吸都反复练习。 到了晚上，我拨通了妹子的微信语音，还没等对方开口我就按捺不住内心的想法，开始自说自话，一阵狂乱的表达… 足足五分钟一气呵成，一切都是那么自然！可是在我说完之后却半天都没有等到妹子的回应… 过了好一会儿才听到对方的声音：“喂！喂！我这边信号不好，你刚刚在说啥我一句都没听到，我在跟我男朋友逛街呢…”。 我挂断了电话，我也对我这次失败的表白进行了深度的总结！原因就是因为我没有学好 TCP！ 如果我懂 TCP，那我在表白之前至少要先问一句“在吗？”！先建立可靠的连接，确保连接正常才能开始表白！ 如果我懂 TCP，那我在我说话的过程中需要对方不断的确认，这样才能保证我说的每一句话对方都能听到！这样我才能表白成功！ 所以一切都是因为我没有学好 TCP，于是我走进了图书馆… 我们先来看下 TCP 的定义： TCP 全称为 Transmission Control Protocol（传输控制协议），是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP 是为了在不可靠的互联网络上提供可靠的端到端字节流而专门设计的一个传输协议。 这里面每一个字我们都认识