TCP/IP

一、前言 tcpreplay是一款强大的网络数据包重放工具，它可以将捕获到的网络流量（通常是pcap格式的文件）重新重放到网络中，实现对网络通信的重现。这在网络故障排查、安全测试、性能测试、开发调试等场景下具有广泛的应用。同时，tcprep...

赞(36)Rokas Yang2024-09-29阅读(7114)

一、前言 网络扫描和DDoS攻击等行为频繁出现，对网络安全构成严重威胁。为了更好地应对这些安全挑战，我们需要对网络流量来源分布和行为进行深入分析，从而识别潜在的威胁。本文将介绍如何使用MaxMind地址库（包括GeoLite2 ASN、Ge...

赞(33)Rokas Yang2024-08-09阅读(5252)

一、前言 capinfos是Wireshark默认配套安装的命令行工具之一，从其命名来看也能顾名思义，主要用于显示抓包文件的信息，如文件格式、数据包数量、时间范围（首尾包）、数据包类型等。 使用场景大致为以下几种： 检查抓包文件的基本信息：...

赞(11)Rokas Yang2024-03-08阅读(3716)

一、前言 mergecap为wireshark下的配套命令，是wireshark安装时附带的可选工具之一，mergecap用于合并多个包文件。 在日常网络抓包排障中，网关、集群可能是由多台机器节点组成的一个整体，或者出方向和入方向所经过的节...

赞(21)Rokas Yang2024-02-29阅读(4208)

一、wireshark抓取https报文 1.系统变量配置 通过设置系统变量SSLKEYLOGFILE来达到解密https的效果，tls握手结束后，会将session key存放到SSLKEYLOGFILE定义的keylog中，wiresh...

赞(12)Rokas Yang2021-09-10阅读(4735)

一、前言 网络故障排查中，经常要抓包，windows有wireshark，linux最常用的是tcpdump，其中被问得最多的一个问题："iptables限制后，tcpdump还能抓到包吗？",首先看下数据包进入OS及出...

赞(27)Rokas Yang2021-08-10阅读(5647)