心跳周期解说.ppt

* * * * * 测试组2013/4/16 概述 结果分析 总结 学习背景： 为了满足以后工作的需要，学会抓包操作及对所抓结果的分析都是相当有必要的本次学习流程如下： 1.安装抓包工具及安卓模拟器 2.心跳周期的分析筛选步骤（包括筛选命令的查找） 3.筛选的最后一步结果分析也即心跳周期分析 飞信-张三 米聊-李四 QQ –王五 1.讨论和查找资料的分享 2.资料的学习和理解 3.个人理解的心跳周期分析 4.认真学习罗林汉的讲解和分析 5.再次独自分析并提交分析报告 相关知识点： 心跳包是网络数据流中的一种自定义协议、固定信息、循环发送的数据包，在各种网络应用中作为在线状态检测、状态汇报方式、网络同步或其他定时机制的应用而普遍存在。 心跳包的发送通常有两种技术： （1）由用户在应用层自定义协议实现的心跳包； （2）由TCP/IP协议层内置的KeepAlive功能 心跳包序列式网络会话中周期性心跳行为的数据流，主要表现为3个特征： （1）周期性，在时序关系的网络数据流中，心跳包序列(包含发送心跳包和响应心跳包）周期性出现，在普通网络应用中，心跳包发送周期一般为10s、30s或者60s. （2）特定性，即周期性出现的心跳包序列，具有固定的序列特征，每次出现的数据包序列内容和大小一致。 （3）简洁性，由于心跳包序列只是作为连接状态的检测手段，往往简洁精悍，通常只包含一个发送数据包和一个响应数据包，而且数据包比较小，便于节省网络带宽资源。 心跳周期：即在空闲状态下，两心跳包的时间差。 概述 结果分析 总结 第一步 安装网上下载过的wireshark，并将所抓的飞信数据包以此方式打开。 第二步 由于心跳周期只与tcp传输控制协议有关，故在筛选框中输入tcp，并按“Enter”进入筛选结果,如图1，之后在筛选中找到含有POST或GET请求的飞信报文，如图2，双击打开或在此行，我们都可以看到飞信的ip地址，由图3可知其地址为40。打开后在图中的超文本协议中可以看到所访问的网址，如图4。 图1 图2 图3 图4 飞信-心跳分析 第三步 在筛选框中帅选出飞信的ip地址，命令为ip.addr==40, 第四步 筛选出报文长度小于等于100报文，命令为：tcp.len=100，由于此处飞信ip地址报文较少，故无必要再帅选。 根据前面心跳包定义，我们可以看出，报文长度54应作为飞信的心跳包，根据心跳周期的定义也即在空闲状态下两心跳包间的时间差，可以看出，图中并不能计算出心跳包周期，因所抓的飞信数据包时间过短，没有发现一段空闲时间内的两心跳包。 飞信-心跳分析 上面是QQ在5min抓包的部分截图，为罗工提供的抓包数据，我们这次主要是通过数据包筛选和分析，最终分析出QQ的心跳周期。 QQ-心跳分析 这是对数据包做出“tcp”的筛选，筛选出来的数据。然后在对应的“info”中搜选出含有“post”一共三条数据，然后对含有“monitor”数据找出对应的ip地址。 QQ-心跳分析 利用语句“ip.addr==QQ ip地址”，筛选出含有此ip地址的数据包，因为数据较少，故不需要数据的长短做出筛选。通过分析数据可以看出，在这数据包中没有发现心跳，故我们大胆的做出推测，QQ的心跳频率是大约5min。 QQ-心跳分析 1.筛选出tcp协议的报文 首先打开米聊数据分析包，对米聊进行10分钟的抓包。由于心跳周期与tcp传输控制协议相关，因此需要在显示过滤器内输入“tcp”，筛选出tcp协议的报文。 米聊-心跳分析 2.筛选出米聊ip地址的报文 在数据详细信息内找到有GET请求的报文，在显示过滤器内输入寻找米聊ip地址的语句，筛选出有米聊ip地址的报文，然后以第一个报文为参考值，由于数据包较少，故无需筛除长度过长的报文。 米聊-心跳分析 通过对米聊数据包的分析，因抓包时间较短，没有发现一段时间内两空闲的心跳包，故无法分析出米聊的心跳周期。 概述 结果分析 总结 通过这次心跳周期学习，我们从中主要学习到以下几点内容： 1、学会wireshark抓包软件的安装及抓包； 2、促进了组员间配合度。 3、初步了解了报文的解读。 4、学会了wireshark的筛选命令及相关专业名词，主要有以下几条： tcp:筛选出tcp协议的相关报文。 http:筛选出http超文本协议的相关报文。 ip.addr==40：筛选出IP地址为40。 tcp.len=100:筛选出长度小于等于100的报文。 request URI:取得当前URL的 路径地址 URL:就是统一资源定位器（UniformResourceLocator:URL）。通俗地说，它是用来指出某一项信息的所在位置及存取方式；更严格一点来说，URL就是在WWW上指