我想从fortiet / fortigate设备获取数据包捕获,以捕获其接口上的所有stream量。 为此,我启用了sflow并将其发送给另一个ntopng服务器。 但在ntopng上,我能够看到sflow数据,但有什么办法,我可以转换/转储此数据为pcap格式? 因为我需要pcap中的数据来分析它。 我能够将数据导出到json,但我们可以将sflow转换为pcap吗?
我正在捕获我的networkingstream量,并遇到两个不同的MS命令行工具,允许这样做: 一个着名的netsh工具,最近装备了强大的捕捉开关 与MS消息分析器一起发运的一个全新的PEF框架 。 MS Analyzer是一个覆盖我所有的stream量分析需求的工具,但它有一个缺点: 资源非常贪婪 。 所以我决定在日常的工作中切换到命令行工具,来到上面两个选项。 正如它在PS PEF cmdlet文档中所述, PEF命令主要遵循消息分析器function,这使得它非常强大和可configuration。 但是, netsh跟踪捕获也有非常扩展的语法,我坚持select正确的工具。 亲爱的pipe理大师们,有没有人有这两种工具的经验,并可以就这个问题提供合理的build议: PEF命令是否与Message Analyzer具有完全相同的function? 如果是这样,使用netsh比PEF有什么优势吗? 性能? 两者都有什么限制? UPD:现在唯一的区别是我能够find它们之间的netsh跟踪不支持IP子网规范(在CIDR或其他),就是这样。 我没有看到其他的区别:他们都支持相同的filter,相同的提供者(包括ETW)等等。 UPD2:我也刚刚发现networking事件包捕获cmdlet ,看起来他们完全一样。 完全混淆了现在((
我有以下情况:Centos7,2网卡,具有以下设置: em2(NIC2): 82.79.24.74/29 82.79.24.75/29 em3(NIC3): 192.168.0.240/24 192.168.133.240/24 不使用NIC1和NIC4。 em2 ips是公开的ips,em3 ips是私人的ips。 不对称路由(外出路由和进入路由不同)包被接受,rp_filter = 2被设置。 防火墙也被禁用,没有主动防火墙。 一切正常,除了一个。 有时主机(内核)会无故地随机忽略一个随机IP,例如来自我的客户IP的一个IP,并且它们不能从服务器上访问任何内容。 他们不能ping通服务器。 14:18:16.553360 IP 81.12.176.198 > 82.79.24.74: ICMP echo request, id 1, seq 2171, length 40 14:18:21.548878 IP 81.12.176.198 > 82.79.24.74: ICMP echo request, id 1, seq 2172, length 40 14:18:26.547637 IP 81.12.176.198 > 82.79.24.74: ICMP echo request, id […]
我使用wireshark在我的本地networking(testing它),我注意到有很多udp数据包发送一个广播,而大多数来自只有一个主机。 这些udp数据包在端口25860上广播发送。 把所有这些包发送到同一个端口,并总是有相同的数据,我认为它可能是一个已知的数据包(如DNS请求可能是类似的东西)。 那么,有人可以告诉我这些包(如果有的话)的目的是什么?
有没有人知道一个工具来打开一个数据包捕获保存为.bin文件? 那或如何将其转换为PCAP或什么wireshark可以打开。 我从瘦客户端抓取数据包,当我下载它的.bin文件types。 我一直无法找出谁来打开它来查看它。
Windows Server 2003。 我在服务器上安装了最新的WireShark,需要捕获服务器上的数据包,以查明随机发生的连接重置/重新传输问题。 当连接复位发生时,它将重置约600个连接/秒,正常值应低于100 /秒。 服务器实际上是Cisco UCS主机上的虚拟机。 tshark数据包捕获可以帮助找出原因吗? 另一个问题是因为我要捕获所有的stream量(不知道这是一个好主意),我也做分组切片。 我的问题是每个数据包应该限制多less个字节。 看起来像我捕获的数据包有54个字节的头(似乎包括帧,EthernetII,互联网协议,TCP部分)。 我应该使用吗? tshart -q -b "filesize:20000" -b "files:5" -s 54 -wc:\outfile.pcap 所有的有效载荷将不会被保存? 请指教,谢谢!
我使用tcpdump捕获一个服务器的输出数据包,但我也需要阻止这些数据包。 如果我使用iptables来阻止他们,那么我也无法捕捉任何东西。 我可以使用iptables阻止数据包,并在数据包被丢弃之前仍然捕获这些数据包吗?
在这里涉及相关话题的其他问题我已经看过,但是我还不清楚。 我刚刚阅读了TCP序列和确认编号的解释。 大约一半的下面是这个图: 在页面结尾处,最后一步(步骤4)的解释包含以下内容: 请注意,第4行中的段的序列号与第3行中的段号相同,因为ACK不占用序列号空间。 因此,请记住,生成的任何数据包(对于以前接收到的数据包只是简单的确认(换句话说,只设置了ACK标志并且不包含数据)),决不会增加序列号。 我目前正在努力了解这一点: 我可以清楚地看到,在步骤4中发送的数据包中的序列号与在步骤3中发送的数据包具有相同的序列号 。 在这些步骤中也可以看到确认号码也是一样的 基本上,笔者似乎是说第4步的数据包与第3 步的数据包完全相同,只是第4步的数据包包含数据/有效负载。 关于我的第一个两点,这是正确的吗?(就像作者说得对?)关于我的第三点,这是正确的吗? 最后,假设对前两个问题的答案基本上是“是” ,那么这两个数据包中的这些数字是否相同是因为没有从网关服务器接收到任何中间数据包? 我正在寻求这方面的一般澄清。
当我没有任何互联网conncetion,我想捕捉本地计算机之间的networking,tcpdump的行为是这样的: 1.我使用以下命令启动tcpdump: tcpdump -ixenbr0 2.运行后,tcpdump进入冻结模式大约1-2分钟,然后捕获一些数据包并再次冻结,再次捕获一些相同的结果。 我甚至不能用ctrl + c退出tcpdump,甚至用killall tcpdump命令杀死tcpdump进程。 我在networking中的所有计算机上都有这个问题,而不是一个。 但是,当我连接networking到互联网,tcpdump工作得很好。 一切都可以与互联网连接。 对我来说似乎很奇怪。 我也试过了,但没有运气。 我使用Ubuntu 14.04。 Tcpdump版本是4.5.1。 任何人有任何想法是什么错误?
有没有一种快速的方法来确定Wireshark捕获中的应用程序? 如果是这样的话 由于大多数捕获包含了超过一万行,我不能指望人们会检查哪一个端口已被利用,并且每一万行(每个大多数TCP数据包)与每个应用程序相关联。 那么Wireshark是否有一种快速的方法来捕获哪些应用程序?