wireshark

TSINGSEE青犀视频云边端架构EasyNVR、EasyDSS、EasyGBS等都是有两种操作系统的版本，一种是linux，一种是windows。而大多数开发者用户都会使用linux版本进行安装。 对于安装部署出现的问题，TSINGSEE青犀视频团队研发的经常为客户远程调试，通常都会通过抓取网络包的方式进行排查。当我们在使用SSH连接远程客户服务器的时候可以有两种方式进行抓包，分别是： 通过tcpdump进行抓包，对于tcpdump抓包，保存到服务器，在拷贝到本地进行分析。 通过wireshark进行抓包，对于ssh连接后，如何使用wireshark？ 本文我们就简单介绍一下如何在SSH连接linux的情况，使用wireshark进行抓包。 1、首先确认安装服务器是否已经安装wireshark，如果没有安装，需要先安装 yum install wireshark 2、安装完成后，执行wireshark 3、查询wireshark需要的依赖 yum search wireshark 4、安装gnome yum install wireshark-gnome.x86_64 此时wireshark命令可以找到执行，但是无法显示。这里可以在windows上安装xMing来解决。 5、下载xming https://xming.en.softonic.com/download

作者简介 作者Liam，海外老码农，对应用密码学、CPU微架构、高速网络通信等领域都有所涉猎。 Linux阅码场原创文章 Linux TCP 内核协议栈是一个非常复杂的实现， 不但沉淀了过去20多年的设计与实现，同时还在不停的更新。相关的RFC与优化工作一直还在进行中。如何研究和学习Linux TCP内核协议栈这样一块硬骨头就成了一大难题。 当然最重要也是最基本的还是要阅读相关的RFC和内核中的代码实现。这个是最最基本的要求。想要驯服TCP 内核协议栈这样的monster 仅仅浏览和静态分析代码是完全不够的。因为整个实现中充斥着各种边界条件和异常的处理（这里有部分原因是因为TCP协议本身设计造成的），尤其是TCP是有状态的协议， 很多边界条件的触发需要一系列的报文来构成，同时还需要满足时延等其它条件。 幸运的是Google在2013年替大家解决了这个难题。Google 在2013 年发布了TCP 内核协议栈 测试工具 Packet Drill。这个工具是名副其实，大大的简化了学习和测试TCP 内核协议栈的难度。基本可以随心所欲的触摸TCP 内核协议栈的每个细节。Google的这件工具真是造福了人类。PacketDrill GitHub link: https://github.com/google/packetdrill/ 使用Packet Drill，

OpenVAS Tripwire IP360 Nessus Comodo HackerProof Nexpose community Vulnerability Manager Plus Nikto Wireshark Aircrack-ng Retina 1、OpenVAS OpenVAS漏洞扫描器是一种漏洞分析工具，由于其全面的特性，可以使用它来扫描服务器和网络设备。 这些扫描器将通过扫描现有设施中的开放端口、错误配置和漏洞来查找IP地址并检查任何开放服务。 扫描完成后，将自动生成报告并以电子邮件形式发送，以供进一步研究和更正。OpenVAS也可以从外部服务器进行操作，从黑客的角度出发，从而确定暴露的端口或服务并及时进行处理。 如果您已经拥有一个内部事件响应或检测系统，则OpenVAS将帮助您使用网络渗透测试工具和整个警报来改进网络监控。 2、Tripwire IP360 Tripwire IP360是市场上领先的漏洞管理解决方案之一，它使用户能够识别其网络上的所有内容，包括内部部署，云和容器资产。 Tripwire允许IT部门使用代理访问他们的资产，并减少代理扫描。 它还与漏洞管理和风险管理集成在一起，使IT管理员和安全专业人员可以对安全管理采取整体方法。 3、Nessus漏洞扫描器 Tenable的Nessus Professional是一款面向安全专业人士的工具

课程学习 1. 网络信息收集的方法 ：网络踩点，网络扫描，网络查点 2. 网络踩点的目标 ：在不实际进行入侵的前提下，从目前掌握的少量目标的信息，利用网络踩点工具，了解攻击目标的网络环境和信息安全状况。 3. 网络踩点技术手段又分为三种 ：利用搜索引擎如Google、百度的web信息收集与挖掘，百度提供了高级搜索供用户使用。使用一些域名服务网站查询，使用提供WHOIS服务的网站查询IP，进一步可通过IP确定地理位置。使用路由跟踪工具获得目标的网络拓扑结构。 4. 网络扫描的目标 ：探测目标网络，尽可能多的找到目标，进一步探查目标存在的安全弱点。 5. 网络扫描的技术漏洞包括 ：主机扫描，端口扫描，操作系统或网络服务辨识，漏洞扫描。每一步都可根据情况选取适合的工具，其中nmap是一款强大的工具，支持所有这四步操作。 6. 网络查点的目标 ：利用前面两步获得的信息，进行更有针对性的探查，寻找攻入口。有通用的技术方法，也有针对不同操作系统的查点技术。 实践 1. 使用nslookup和dig查询sina.com.cn 1)使用nslookup查询sina.com.cn，结果如下图： 2)使用dig查询sina.com.cn，结果如下图： 2. 使用nmap扫描特定靶机，给出环境配置，这里我们扫描的是linux靶机，ip地址为192.168.200.5 1)用 nmap -sP

问题产生： 　　在进行客户端向服务端发送数据时，每次发送一定数量数据后发送端就等不到send函数的返回，导致程序一直卡死在send函数。 　　通过抓包发现：发送端发送过快而接收端处理速度过慢，导致快速发送一定量数据后wireshark显示发送端发送数据有window full提醒，几次之后接收端会发送zero window消息，发送缓冲区数据无法发出导致堆积满发送缓冲区，从而导致send无法将数据拷贝进发送缓冲区，进而形成send函数无法返回，程序阻塞无法运行。 分析： recv端表现：在刚开始发送数据时，接收端处于慢启动状态，滑动窗口值越来越大，但是由于接收端不处理接收缓冲区内的数据，其滑动窗口越来越小（因为接收端回应发送端中的win大小表示接受端还能够接受多少数据，发送端下次发送的数据大小不能超过回应中win的大小），最后发送端回应给接受端的ACK中显示的win大小为0，表示接收端不能够再接受数据。 send端表现：发送端一直不能返回，如果接收端一直回应win为0的情况下，发送端的send就会一直不能返回，这种僵局一直持续到接收端的缓冲区数据被处理完成空出足够接收一定量数据的空间。 原因分析：首先需要明白几个事实，阻塞式I/O会一直等待，直达这个操作完成；发送端接受到接收端的回应后才能将发送缓冲区中的数据进行清空。 那么接收端的接收缓冲区满，导致滑动窗口为0，发送端不能发送数据

最近收到不少读者留言，关于怎么学「操作系统」和「计算机网络」的留言，小林写这一块的内容也有半年多了，啃非常多的书，也看了很多视频，有好的有差的，今天就 掏心掏肺 地分享给大家。 操作系统和计算机网络有多重要呢？如果没有操作系统，我们的手机和电脑可以说是废铁了，自然它们都没有使用价值了，另外如果没有计算机网络，我们的手机和电脑就是一座「孤岛」了，孤岛的世界很单调，也没有什么色彩，也正是因为计算机网络，才创造出这么丰富多彩的互联网世界。 身为程序员的我们，那更应该深刻理解和掌握它们，虽然我们日常 CURD 的工作中，即使不熟悉它们，也不妨碍我们写代码，但是当出现问题时，没有这些基础知识，你是无厘头的，根本没有思路下手，这时候和别人差距就显现出来了，可以说是程序员之间的分水岭。 事实上，我们工作中会有大量的时间都是在排查和解决问题，编码的时间其实比较少，如果计算机基础学的很扎实，虽然不敢保证我们能 100% 解决，但是至少遇到问题时，我们有一个排查的方向，或者直接就定位到问题所在，然后再一步一步尝试解决，解决了问题，自然就体现了我们自身的实力和价值，职场也会越走越远。 我自己工作中就深刻体会到了它们多重要性，我最近项目就遇到 TCP 比较底层的问题，我们的一个 Web 服务运行久之后，就无法与客户端正常建立连接了，使用 tcpdump 抓包发现 TCP 三次握手过程中

计算机网络 重点在TCP/IP协议和HTTP协议。 目录 Chapter 1 Chapter 2 Chapter 3 网络层(IP) 传输层(TCP/UDP) 应用层(HTTP) 内容 网络层(IP) 待补充 传输层(TCP/UDP) ISO七层模型中表示层和会话层功能是什么？ 表示层：图像、视频编码解，数据加密。 会话层：建立会话，如session认证、断点续传。 描述TCP头部？ 序号（32bit）：传输方向上字节流的字节编号。初始时序号会被设置一个随机的初始值（ISN），之后每次发送数据时，序号值 = ISN + 数据在整个字节流中的偏移。假设A -> B且ISN = 1024，第一段数据512字节已经到B，则第二段数据发送时序号为1024 + 512。用于解决网络包乱序问题。 确认号（32bit）：接收方对发送方TCP报文段的响应，其值是收到的序号值 + 1。 首部长（4bit）：标识首部有多少个4字节 * 首部长，最大为15，即60字节。 标志位（6bit）： URG：标志紧急指针是否有效。 ACK：标志确认号是否有效（确认报文段）。用于解决丢包问题。 PSH：提示接收端立即从缓冲读走数据。 RST：表示要求对方重新建立连接（复位报文段）。 SYN：表示请求建立一个连接（连接报文段）。 FIN：表示关闭连接（断开报文段）。 窗口（16bit）：接收窗口。用于告知对方

【 摘要 】 本文重点分析计算机网络中TCP协议中的握手和挥手的过程。 【前提说明】 前段时间突然看到了一篇关于TCP/IP模型的文章，心想这段时间在家里也用wireshark抓了点包，那么想着想着就觉得需要复习一下网络知识，于是就有这篇博文的诞生。当然网上关于TCP相关的知识点也是芸芸，闲着无事也可以多google深入理解一下，本文重点在分析TCP协议中的握手和挥手的过程。 【抓包前准备】 既然要抓包，我的装备是个人电脑，操作系统是Mac OS。抓包工具是wireshark，至于怎么安装和一些基本的操作， 可以点击参考这篇文章。 用本地电脑模拟server和client，都是localhost的地址，但是我选择的是不同的端口进行标识。server的端口号：12345；client的端口号：50784。因为是用的本机做的实验，所以wireshark监听的不是网卡而是Loopback:lo0,如图所示： 以下是我模拟client和server的代码： 1）server端 -Python 代码 01 #! /usr/bin/python 02 # -*- coding: utf-8 -*- 03 04 import socket 05 06 sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 07 08 server

在分析数据之前，我们先了解一下我们传输数据的结构体系，如下图： 这是两种体系，我们常用的一般都是TCP/IP体系结构。 TCP/IP体系架构分析 不难发现，TCP/IP体系中包含着很多我们熟悉的协议，比如说：http、smtp、https等。而我们人（使用者）是站在应用层之上的，我们想把数据上传或者说发送给别人，就要通过一些应用，如：QQ、微信、百度网盘等。然后就经过一层层加密（在数据包前加个“头”），一层层的传递。 Frame层（物理层）分析 这是我自己抓包的一个例子，我从我自己的QQ发了一条消息给朋友，然后截了一个数据包，现在我们来分析一下。 1.在这里我们可以看见的是我发信息到达对方QQ的时间（Arrival Time）. 2.与之前捕获的数据帧时间差0.016937秒（captured frame）. 3.与之前显示的帧时间差0.02171秒（displayed frame）. 4.帧的长度(Frame Length)和捕获到的长度(Capture Length)都是89字节. 5.使用的色彩规则是UDP. Ethernet层（数据链路层）分析 这里我们就可以看见我和别人的Mac地址（物理地址）,Destination是目标的，相对的Source就是我的啦，IPv4是我发的数据包类型。 IPv4协议（互联网层）分析 1.头部数据长度（Header Length）为20字节.