我目前正在调查网络流量。在这里,我想找出哪个客户端与哪个服务器进行通信。显然,我可以查看第一个数据包并查看:
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
PartyA:38531 ===request===> PartyB:80
PartyB:80 ===response==> PartyA:38531
所以PartyA从网络服务器(PartyB)请求某些东西。 PartyA的端口是随机选择的(https://en.wikipedia.org/wiki/Ephemeral_port)。 但是如果数据包捕获没有捕获第一个数据包怎么办?所以第一个包就是:
PartyB:80 ===response==> PartyA:38531
....
我如何能够找出服务器是谁以及客户端是谁?是否有规则,例如"短暂的端口必须高于静态端口"或类似的东西?但是,如果端口高于61000会发生什么?
我想分析流向某个服务器并来自某个主机的流量。但是,如果一个新的连接出现一个新的短暂端口怎么办?有没有办法找出服务器是谁以及客户是谁?
希望我的问题很明确:) 提前致谢
答案 0 :(得分:-1)
这完全取决于,短暂的端口在分配它们的机器上是短暂的,它们可以在其他系统上的短暂池中,或者在其他内核上,所以你不应该期望它们太多。
唯一可以肯定的是,49151–65535 (2^15+2^14-1 to 2^16−1)范围内的端口是短暂的,但它们不限于服务器使用(更多,它们建议私人使用)。
更好地专注于静态端口。如果从不同的地址到同一端口的活动连接很少,可能是服务器上的静态端口和不同地址上的不同端口 - 客户端上的短暂端口?
如果客户端和服务器之间只有一个会话,那么谁是服务器以及谁是客户端并不重要,您只能从他们使用的协议中检索它。