|
|
|
|
移动端

5.5 跟踪TCP流

《Wireshark数据包分析实战(第2版)》第5章Wireshark高级特性,本章我们将会从这些强大的功能特性中挑选一些进行介绍,其中包括端点和会话窗口、名字解析的细节、协议解析、数据流跟踪、IO图形化等。本节为大家介绍跟踪TCP流。

作者:诸葛建伟 等译来源:人民邮电出版社|2013-03-21 13:45

5.5  跟踪TCP流

Wireshark分析功能中最令人满意的一点就是它能够将TCP流重组成容易阅读的格式。跟踪TCP流这个功能可以将从客户端发往服务器的数据排好顺序使之容易查看,而不需要一小块一小块地看。这在查看HTTP、FTP等纯文本应用层协议时非常好用(我们将在下一章中详细讲述这些常见协议是如何工作的)。

我们以一个简单的HTTP交互举例来说,打开http_google.pcap,并在文件中单击任何一个TCP或者HTTP数据包,右键单击这个文件并选择Follow TCP Stream。这时TCP流就会在一个单独的窗口中显示出来(如图5-11    所示)。

我们注意到这个窗口中的文字以两个颜色显示,其中红色用来标明从源地址前往目标地址的流量,而蓝色用来区分出相反方向也就是从目标地址到源地址的流量。这里颜色的标记以哪方先开始通信为准,在我们的例子中,客户端最先建立了到服务器的连接,所以显示为红色。

在这个TCP流中,你可以清晰地看到这两台主机之间进行的绝大多数通信。在这些通信开始的时候,最初是一个对Web根目录的GET请求,然后是来自服务器的一个用HTTP/1.1 200 OK表示请求成功的响应。在每一次客户端请求另一个文件以及服务器给予响应的时候,这个简单模式都会重复出现。你可以看到一个用户正在浏览谷歌首页,而事实上你和这个用户看到的别无二致,只不过是以更深入的形式去看。

在这个窗口中除了能够看到这些原始数据,你还可以在文本间进行搜索,将其保存成一个文件、打印,或者以ASCII码、EBCDIC、十六进制或者C数组的格式去查看。这些选项都可以在跟踪TCP流窗口的下面找到。

跟踪TCP流在你和一些协议打交道的时候,绝对是你的好帮手。

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Linux标准教程

本书以Linux Redhat 9.0中文版为基础编写,从易用性和实用性角度出发主要介绍Linux Redhat 9.0中文版的应用知识,通过本书的学习,相信初中...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊