抓取网页flash(wireshark如何抓包分析网页视频特征，并写出L7的代码)

　　抓取网页flash(wireshark如何抓包分析网页视频特征，并写出L7的代码)

　　Wireshark是一款非常有名的数据分析软件，我们首先需要下载安装wireshark并安装。下面介绍wireshark如何抓包，分析网络视频特征，编写L7代码。

　　运营流程：

　　1. 启动wireshark，找到需要抓包的网卡，准备抓包；

　　2. 启动浏览器并打开网页观看视频；

　　3. 在wireshark抓包界面点击start开始抓包；

　　4. 观看视频一定时间后，停止wireshark抓包，分析数据，输入http.request get找到请求获取的链接，一般以.swf结尾

　　5.分析类型关联数据，多次比较，发现共性，写L7正则表达式

　　一、启用wireshark。

　　2013-12-12 10:06 上传

　　下载附件 (67.54 KB)

　　通过列表我们可以选择需要抓包的网卡

　　2013-12-12 10:06 上传

　　下载附件 (22.55 KB)

　　二、打开浏览器，但不要播放视频。这是一个例子

　　三、点击开始按钮开始抓取，然后点击播放网络视频。

　　四、视频播放一段时间后，我们可以停止抓包。分析数据包最重要的是向视频服务器申请视频的get或post参数。我们可以使用http.request get来查找，如下图

　　2013-12-12 10:06 上传

　　下载附件 (66.72 KB)

　　我们从应用层分析 L7 数据，无论是游戏还是视频，不管它们的帧、以太网、网际协议和传输方式（TCP 还是 UDP），只有在分析完传输协议，例如视频后，我们分析是http传输协议

　　当然我们要找的是视频文件，比如.swf结尾的内容（可能是mp4之类的），其他的jpg、js、png就不用考虑了。在上图中，我们找到了一个相关的匹配GET值，可以看到主机在220.118.109.158处从服务器获取了一个.swf flash视频文件，

　　2013-12-12 10:07 上传

　　下载附件 (92.41 KB)

　　内容如下：

　　[[动态]]/2/[[动态]]/6

　　继续查找相关内容：

　　2013-12-12 10:07 上传

　　下载附件 (92.03 KB)

　　这一次我们得到了不同的东西

　　[[动态]]/2/[[动态]]/6

　　我们多次使用这种方法比较该视频的GET信息，几乎所有的连接内容都有上述的共同点。

　　这样我们就可以开始爬关键词了，这些都是自动固定的，然后是adplayer.swf或者qiyi_player.swf，这里我们只取.swf，那么我们要收录的关键词是

　　GET++.swf

　　最后，我们编写如下L7正则表达式代码

　　^(get|post) .+\www\ 。\七一\ . \com\ / \播放器。+\ .swf

　　代码分析：

　　^ : 表示内容的开始

　　(get|post): "|" 中间标识 get 或 post

　　.+ ：介于两者之间的任何字符

　　\ ：将内容转换为字符

　　最后我们将代码简化为：

　　^（获取|发布）。+\七一\ . \com\ / \播放器。+\ .swf

　　此处不包括www，因为服务器可能会替换其他二级域名，我们将代码添加到/ip firewall layer7-protocol

　　2013-12-12 10:08 上传

　　下载附件 (120.81 KB)

　　后者是需要在iP防火墙过滤器中进行防火墙过滤，或者在iP防火墙mangle中进行流量控制等操作

　　下面是几个视频网页的 L7 正则表达式

　　2013-12-12 10:06 上传

　　下载附件 (122.19 KB)