0

私はsniffex.cを出発点として使用し、パケットスニファを希望どおりに機能させるために数か月を費やしました。これは、ネットワーク上の各コンピューターに出入りするトラフィックフローの概要を提供するための優れたツールですが、インバウンドトラフィックが発生した場所についてもう少し情報が必要だと思います。サンプルのインバウンドパケットのsrc_ipでwhoisを実行すると、ほとんどの場合、Qwest Communications Company、LLCまたはAKAMAI TECHNOLOGIES INCのいずれかが所有するホストに関する情報を取得しますが、実際には興味のある情報は提供されません。 。

この時点で、youtubeやespnなどのデータがどこから来たのかを追跡することに興味があります...これはどのように行うことができますか?

逆引きDNSルックアップは私が探しているもののように聞こえますが、適切なデータのチャンクを受け取ったsrc_ipを取得し、それをオンラインの逆引きDNS検索フォームの1つに入れると、qwestが所有しているだけです。

編集#1:

さて、以下のガイ・ハリスの答えのおかげで、私はこの質問をする方法についてより良い考えを持っています。彼が述べたように、各パケット内のASCIIデータには「Host:」行が必要です。これにより、このデータのソースがより高いレベルにあるかについてのより直接的な情報が得られます。では、どうすればそのデータにアクセスできますか?ASCIIテキストを解析することが最善のアプローチですか、それともこのデータを取得するための既存の関数がありますか?

編集#2:

ペイロードまたはヘッダーASCIIのいずれかを解析することは行き止まりのようです。非常に便利なlibpcapアプリケーションのソースをここで見つけました。このプログラムは、上記のすべてをログファイルに出力します。このデータを見ると、「Host:」フィールドを持つパケットはほとんどないことがわかります。明らかに、TCPポートは80パケットのみであり、次に一連の最初のパケットのみです。それでも、このホストフィールドを持つものだけが、ネットワーク上のボックスの1つでWebサーバーによって提供されていることがわかりました。

では、多くの異なるWebサイトのコンテンツが単一のホストにキャッシュされる可能性があるため、私が求めていることは完全に理解できないのでしょうか。

4

1 に答える 1

0

Qwest( CenturyLinkによって購入された)はISPでした(そしてCenturyLinkは今でもそうです)。たとえば、一部の企業はそれらをホスティングISPとして使用し、www.example.comへのHTTPリクエストなどのリクエストは、実際にはQwest / CenturyLinkのサーバーの1つによって処理されるため、www.exampleからダウンロードする場合はそうなります。 com、実際にはQwest/CenturyLinkが所有するサーバーからダウンロードしています。サーバーのIPアドレスもQwest/CenturyLinkに属しています。

アカマイは、多くの人々が資料をダウンロードできるようにしたい組織にインフラストラクチャを提供する会社です。組織は、サーバーのドメイン名が実際にAkamaiのIPアドレスに解決されるように調整します。そのため、www.example.comからダウンロードしていると思われる場合は、実際にはAkamaiのサーバーの1つであるIPからダウンロードしています。その住所もアカマイに属しています。

したがって、www.example.comからのダウンロード要求(HTTP GET要求など)へ​​の応答の一部であるインバウンドパケットの送信元IPアドレスは、QwestまたはAkamaiに属するホストのIPアドレスである可能性があります。トラフィックが実際に開始されたホストです

Qwestに属している場合、Example Inc.のWebサーバーは、Example Inc.が所有し、Example Inc.が所有する範囲のIPアドレスを使用しているマシンではなく、Qwest IPアドレスを持つQwestマシンに実際に格納されている可能性があります(例Inc.は、サーバーやプライベート範囲のIPアドレスを管理するよりも、リソースとの関係が優れている可能性があります)。

アカマイに属する場合は、コンテンツのキャッシュを提供するためにアカマイと契約したExample Inc.から提供された、ダウンロードする資料のコピーがあります。

誰の資料が実際にダウンロードされているかを判断するためにできることは、たとえば、クライアントがIPアドレスを判断するために行ったDNSリクエストを確認することだけです(DNSリクエストに「www.example.com」が表示されます)。 、DNS要求に対して返されたQwest / Akamai /すべてのIPアドレスを表示するだけでなく、少なくともHTTPの場合は、HTTP 1.1要求の「Host:」ヘッダー(ドメイン名も含まれます)。

そして、はい、ダウンロードプロセスの任意の時点でキャプチャを開始する一般的なケースでは、ダウンロードされているコンテンツの「元の」ソースを常に把握できるとは限りません。

Host:ヘッダーは最初のHTTPリクエストにのみ表示されるため、最初のHTTPリクエストが行われたときにトラフィックをキャプチャしていなかった場合、またはダウンロードがHTTPリクエストの結果でない場合は、ラック。

DNS要求は、ダウンロードが開始する前に行われます。DNSリゾルバーはDNS要求の結果をキャッシュできるため、ダウンロードが開始されるまでにかなりの時間がかかっている可能性があります。 DNS要求が行われたとき、あなたは運が悪かった。

于 2013-03-22T08:39:50.687 に答える