我试图监视我的Cisco 3348路由器和一对5515-X ASA之间的networking。 路由器位于交换机的端口1(HP ProCurve 2510G-24),ASA位于端口2和3.我将所有3个端口都configuration为端口4(镜像端口)的监视源。 我遇到的问题是交换机镜像数据包,因为他们进入未标记的端口,然后再标记后。 这导致ntopng显示重复的数据,一次对于没有VLAN的数据包(ntopng中的VLAN 0)以及VLAN 2中的数据包。 VLAN 2是此交换机上唯一的VLAN。 ntopng.conf中是否有–packet-filter选项,只显示VLAN 2stream量? 我已经尝试了这些没有成功: –packet-filter =“ether [12:2] = 0x8100” –packet滤波器= “VLAN” –packet-filter =“vlan 2” 他们要么不过滤,要么根本没有数据。 这个特定的交换机不能将VLAN设置为监视源。 服务器详细信息:Dell R310,CentOS 7,Broadcom BCM5716,libpcap 1.5.3-8,ntopng 1.5.3
我刚刚获得了一个旧的思科877.我确保先按下后面的重置button。 然后我插入其中一个LAN端口。 该设备给了我一个IPv4地址(169.254.14.65/16)和一个IPv6地址(fe80 :: 9504:ecb9:b0b:e41%38) 我尝试使用Wireshark嗅探数据包,发现Cisco设备正在广播ARP数据包。 消息是: Who has 192.168.80.1? Tell 192.168.80.9 Who has 192.168.80.1? Tell 192.168.80.9 我的理解是,192.168.80.9应该是Cisco路由器的地址,但它不响应ping或http / https请求。 PS。 我知道,一般做思科configuration我需要使用控制台端口,需要一个控制台oprt。 然而,我正在试图访问这个东西,好奇。 谢谢 :)
我应该使用什么程序? (该文件在“诊断”部分下的RV 120W上生成)
我需要在nimbuzz pc客户端和nimbuzz服务器之间捕获所有的stream量,特别是在login时。 原因是我需要在login时debugging传出数据包,标记用户可见性状态以便在内部XMPP客户端应用程序中重现它们 我试过用wireshark做这个,但是我似乎对这个工具很无奈。 另外,我所能看到的数据包都是在SASL协商发生之前完成的,之后,我看不到交换的xml数据包 任何帮助如何实现这个任务是非常赞赏的(最好在Windows上,因为没有Linux的nimbuzz客户端,在任何情况下,我可以安装一个虚拟机,并监视VM主机之间的虚拟机实例之间的stream量) 编辑我在这里添加了后续问题。
我们遇到了一个问题,就是我们注意到在我们的networking上一周时间内以约一百七十亿的数据量下载了httpstream量。 在locking了许多服务并在捕获点和跟踪包之间运行集线器之后,我们注意到stream量来自我们的非生产虚拟机之一。 其实这是一个SBS 2008testing环境。 一旦我们断开容纳此虚拟机的一个办公室,问题就会消失。 一旦虚拟机停止或断开连接,stream量涓stream就会消失。 当它开始运行时,带宽约为900Kbps。 我们环顾四周,看到任何如此大的下载数据,并注意到在虚拟机或任何其他networking共享/服务器上没有大的数据占用空间。 我们没有任何ftp或其他WAN端服务打开,除非非标准端口上的SSH隧道被locking。 我的问题是什么可能导致我们这么高的下载量。 举个例子,从我们的WAN IP上传的只有6GB的下载量为162GB。 为了澄清,似乎我们已经下载了162GB的数据,并从我们的最终上传了6GB的数据。 如果需要,我可以提供更多信息。
我们有多个办事处通过使用Meraki交换机的VPN相互连接。 我一直在环顾四周,似乎无法find方法,但认为这是可能的。 是否有可能把我的桌面上的一个远程vpn'd子网,所以我可以监控stream量? 我们有一个办公室经历了高stream量,我们正在寻找一个比较,而不必远程到本地计算机。 如果这是有道理的,这有可能吗?
我试图使用Windows的Wireshark 1.10.6,我只想捕获到端口443的stream量(以诊断我有一些奇怪的HTTPS问题)。 所以我打开捕获 – > 捕获filter…在那里我删除所有的filter,然后添加一个filterstring设置为端口443 。 然后我开始捕捉,看到有很多不相关的东西被捕获,例如这个 BROWSER 243主机通告,工作站,服务器,SQL Server,NT工作站,NT服务器,备份浏览器,DFS服务器 所以它看起来像捕获filter被忽略。 我做错了什么,如何使用filter?
有什么办法可以区分, HTTP或HTTPS数据包来自browser或不是? 特别针对https请求。Http中的数据包中有User-Agent字段,但在HTTPS中找不到任何内容。
如Title所述,我想检查一下,如果我发送的数据包超出了定义的MTU大小,我的主机是否会发送一个ICMPv6数据包太大。我没有一个cisco路由器(扩展的ping)来testing这个场景,因此,我想从基于Linux / Windows的机器注入消息。 请指导我创build这个场景或者有任何请求和响应的wireshark pcap。
我正在尝试使用pcap文件进行stream量捕获。 我从CAIDA(caida.org)网站获得pcap文件。 这pcap文件太大,没有以太网头。 所以我通过使用editcap和使用tcprewrite附加以太网头分割pcap文件到小尺寸(40 MB)。 我使用从PC1到PC2的tcpreplay发送pcap文件stream量。 (PC1和PC2都有debian 8 linux)当我检查从wireshark收到的数据包数据时,数据包计数是好的,但长度太短。 在原来的pcap文件中,长度超过了1500,但是接收到的数据包的最长长度大约是300.我甚至改变了MTU的configuration,但是没有成功。 PS我觉得CAIDA pcap文件有问题。 当我捕获正常的networkingstream量并将其传输到PC2时,没有问题。 所以我想问一个问题。 我如何使这个pcap文件正常工作?