“ 协议分析与还原自学及入门指南。”
有部分朋友给我发消息,说对协议还原很感兴趣,但苦于没人指导,希望得到我的帮助,问我如何进行协议分析的学习。
这篇文章从初学者的角度,编列了一个学习指南,希望能对协议分析的朋友朋友们有所帮助。
01
—
学习指南
对协议分析而言,打交道的是网络流量,因此,对网络协议的了解是一切的基础。学习指南第一部分,将告诉你需要学习的网络协议知识:
1、TCP/IP协议的学习
对接受过高等教育的朋友而言,TCP/IP协议应该不陌生,这里提出来,是为了让大家对一些重点知识进行确认。
学习的重点如下:
掌握IP、TCP、UDP这些协议的区别和联系;
理解协议的分层机制和各层之间的关系;
熟悉协议的交互流程,如TCP三次握手等;
了解IP地址和端口的功能和作用。
2、应用层协议的学习
应用层是传输承载内容的所在,协议还原的本质就是要将这些应用层的数据提取出来。应用层数据千变万化,协议数量和种类很多,但对一些常见协议如HTTP,DNS,SSL的熟悉,对协议分析技能的提高会有很大的帮助。
学习的重点如下:
掌握HTTP协议的原理、方法、应用场景、数据格式及各个字段和值的含义;
掌握DNS协议的原理、机制、特征及各个数据段的含义;
掌握SSL协议的原理、交互流程及数据特征。
同时,对应用层协议的学习不能局限于协议本身,同时需要关注其细节,例如HTTP协议的请求和响应体内数据的编码,格式等知识。
对网络知识的学习,可留意本公号的相关文章。
学习完网络知识,还远远没有入门,还需要熟练使用和掌握各类抓包工具和分析方法,学习指南第二部分,将告诉需要学习的抓包工具和分析方法:
1、Wireshark
这是一个功能强大的报文工具,具备友好的用户界面,使用非常普遍,除了最初级的抓包、导流、搜索、保存等基本功能外,还应掌握各种过滤、显示和统计等高级功能。
2、Fiddler
这个工具主要是用于HTTP和HTTPS协议的分析,一些抓包和分析的具体方法需要掌握牢。
3、tcpdump
这是Linux下的抓包工具,它的各种参数需要熟悉。
4、一些方法
对分析工具的使用中,需要学会下列方法,以提高效率:
从大量报文中找到特定IP或其它特征的流量;
定位特定应用或特定动作产生的流量;
从海量报文中找到有价值的信息。
对工具的使用,可以参考本公号菜单栏的工具技巧栏目。
学习完网络知识和工具使用,还没完,需要在此基础上更深入一层,对数据的编码和解码有一定了解,学习指南第三部分,将告诉你一些需要学习的编码知识:
1、常见的编码
gzip
URL
json
MIME
UTF8
JS
protobuf
xml
BASE64
2、关注点
各个编码的特点,特征及常用场合。
本公号内,也有部分编码知识的介绍。
在对前面提到的知识学习好之后,学习指南的最后一部分,第四部分,将告诉你接下来需要做什么:
实战实战实战,重要的事要说三遍。
实战需要从两个方面入手:
1、找一个APP,去抓包,分析它产生的报文,尝试从报文中提取有价值的信息,发现一些规律。
2、找一个报文分享的网站,下载一些标准协议的报文文件,拓展协议知识的边界,会发现,前面学习的协议知识,只是协议海洋里很小的一部分。
02
—
结语
按照前一章进行了入门级学习以后,你就可以独立进行简单的协议分析任务了,然后,就需要在此基础上边应用边学习了,关键是需要做到融会贯通,以一反三。
同时,还要时刻记得,协议不是一成不变的,社会发展很快,科技发展更快,想跟进时代的潮流,要保持一颗学习之心。
大家一起进步,共同提高吧。
长按进行关注。