TCP连接复位RST:强制关闭TCP链接

在TCP协议中RST表示复位,用于强制关闭TCP链接,主机需要尽快关闭连接(或连接超时,端口或主机不可达)时发送RST包,TCP关闭连接的正常方法是四次握手。

发送RST包关闭连接时,可以丢弃缓存区的包直接发送RST包。而接收端收到RST包后,也不必发送ACK包来确认。RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记),但在正常的TCP连接中RST包可以带ACK确认标记。

Continue reading »
NetworkMiner

提取上传和下载文件的工具:NetworkMiner

网络上NetworkMiner被定义为网络取证分析工具、协议分析工具,它通过数据包嗅探或解析PCAP文件进行网络分析。NetworkMiner是windows平台开放源代码的工具。

这里最看重的一点是:NetworkMiner能够从网络通信中提取文件,这项功能可以将get方式下载和post方式上传的数据包保存到本地。有了这个软件就可以查看本地程序从网络下载了什么文件,上传了什么文件,文件内容是什么。

Continue reading »

http分片下载的文件错误

下载过程中有三个阶段可能导致下载到本地的文件错误:网卡收到的数据错误、网卡传给程序的数据错误、程序写磁盘错误 验证网卡收到的数据错误 wireshark开始抓包后下载,下载完成后使用beyond compare十六进制方式对比错误文件和正确文件,找到两个文件不同的位置,然后在抓到的数据包中搜索相邻字符,如果抓包的数据是正确的,那么网卡收到的数据就是正确的 网卡传给程序的数据错误 使用测试程序直接将

Continue reading »

HTTP头之Content-Type

Content-Type是HTTP响应/POST头中重要的内容,用于定义网络文件的MIME类型和网页的编码。一般浏览器会根据Content-Type来决定如何处理返回的消息体内容,例如直接显示或者调用关联程序。 wireshark中使用过滤语句http.content_type过滤出包含Content-Type的http数据包,如下图 如果只过滤一种类型的Content-Type,可以使用如下过滤

Continue reading »

URL保留字符/特殊含义字符编码

保留字符就是那些在URL中具有特定意义的字符。不安全字符是指那些在URL中没有特殊含义,但在URL所在的上下文中可能具有特殊意义的字符。 url中保留字符的特殊含义 1. + URL 中+号表示空格 %2B 2. 空格 URL中的空格可以用+号或者编码 %20 3. / 分隔目录和子目录 %2F 4. ? 分隔实际的 URL 和参数 %3F 5. % 指定特殊字符 %25 6. # 表示书签 %2

Continue reading »

网络模拟丢包延迟工具:Network Emulator for Windows Toolkit(NEWT)

Network Emulator for Windows Toolkit(NEWT)微软出品的网络仿真器,
可以模拟不同类型的网络,还可以设置网络延迟、可用带宽、排队方式、丢包率、数据包的重排和错误传播等参数。Network Emulator包含在vs2010中但也有独立安装包,本文以vs2010为例,vs2008中也含有Network Emulator但不如vs2010中的功能强大。

vs2010中使用Network Emulator模拟网络:

Continue reading »

wireshark中查看http请求的响应消息/状态码

今天被问到了一个简单的问题,wireshark中怎么查看指定http请求对应的状态码? 点两下鼠标就可以解决:在需要查看响应/请求消息的捕获记录上点击右键,右键菜单中选择“Follow Tcp Stream”,弹出的窗口即可看到这条请求建立和关闭的过程。 这时捕获列表内的数据包既是这条请求的全过程,更换成原来的过滤条件即可返回原来的捕获列表。“Follow Tcp Stream”类似的udp/ss

Continue reading »

winsocket驱动:afd.sys

afd.sys 是 Windows 核心文件,存放在C:\Windows\System32\drivers目录。AFD.SYS是Windows内核级的驱动,用于支持基于 window socket的应用程序,比如DHCP、ftp、telnet等,AFD.SYS被破坏/删除将导致Windows应用程序联网出错。 socket建立后进程会持有“\Device\Afd”句柄,另有\device\tcp、

Continue reading »

VMware模拟网络丢包

网络模拟工具主要有NistNet, IP Cloud, WANemu, Pagent。通过这些工具可以模拟网络延迟/网络丢包,但是这些工具相对比较复杂,这里介绍使用VMware模拟网络丢包。

VMware模拟网络丢包的方法:

1.依次点击菜单“VM–〉setting…”打开虚拟机设置“Virtual Machine Settings”

Continue reading »