使用 wireshark 分析网页视频

来自深圳捷联讯通科技有限公司
跳转至: 导航搜索
Wireshark 是非常著名的数据分析软件,我们首先需要下载 wireshark 并安装,具体 wireshark 的安装和详细操作请 baidu 或 google,下面简单介绍下
wireshark 如何抓包分析网页视频特征,并写出 L7 的代码。
注意:改分析内容仅供参考,可能会涉及后期相关内容变更。
操作流程:
1、 启动 wireshark,并找到需要抓取数据包的网卡,准备抓取。
2、 启动浏览器,并打开需要浏览的视频页面
3、 在 wireshark capture interface 点击 start 开始抓取
4、 视频浏览一定时间后,停止 wireshark 抓取,并分析数据,输入 http.request get 查找请求获取视频的链接,一般都是以.swf 结尾
5、 分析该类型连接的数据,多次对比,找到相同点,并编写 L7 正则表达式
第一步、启用 Wireshark,并选择抓取数据的接口
9-62.png
通过列表可以选择我们需要抓取数据包的网卡
9-63.png
第二步、开启浏览器,但不要播放视频,这里我们以 www.qiyi.com 奇艺视频网站作为案例,
第三步、先点击 start 按钮开始抓取,然后点击播放网页视频
第四步、视频播放到一段时间后,我们可以停止抓取数据包,分析数据包最主要的是刚开始主机向视频服务器申请获取视频的 get 或 post 参数,我们可以使
用 http.request get 来查找,如下图
9-64.png
我们分析 L7 数据是从应用层开始,不管是游戏、下载还是视频,都不用考虑他们的 Frame、Ethernet、InternetProtocol 和传输方式(TCP 或者 UDP),只
从传输协议后分析,如视频,我们分析的是 HTTP 传输协议
当然我们要找的是视频文件,如.swf 结尾的内容(有些可能是 mp4 之类),其他 jpg、js、png 这些都不用考虑。上图,我们找到了一个相关匹配的 GET 值,<be>
我们看到主机向 119.84.75.46 的服务器获取一个.swf 的 flash 视频文件,
9-65.png
内容如下:
9-66.png
继续找到相关的内容:
9-67.png
这次我们获取到的有所不同
9-68.png
我们在用这样的方法对比多次这种视频的 GET 信息,几乎他们的连接内容都有以上的共同点,
这样我们就可以开始抓取关键字,www.xxxxx.com/player 这个字段是固定的,然后是 adplayer.swf 或者qiyi_player.swf,这里我们只取.swf,那我们要包
含的关键字有
9-69.png
最后我们写出以下 L7 的正则表达式代码
9-70.png
代码分析:
9-71.png
最后我将代码简化为
9-73.png
这里没有包含 www.是因为可能服务器会更换其他的二级域名的可能,我们将代码添加入/ip firewall layer7-protocol
9-74.png
剩下的就是你需要在 ip firewall filter 里做防火墙过滤,还是在 ip firewall mangle 里做流控等操作了
下面是几个视频和网页的 L7 的正则表达式(该表达式仅供参考)
9-75.png
作者:余松

上一页 下一页