服务器 Gind.cn

Articles of 数据包捕获

windows:如何确定哪个进程每小时发送一次UDP数据包?

我正在做一个数据包捕获作为开发项目的一部分,在捕获文件中看到一些奇怪的stream量来自我的机器。 大约每3600秒,一个NAT-PMP请求被发送到IP“1.1.168.192”。 (有趣的,看起来像有东西是错的。) 我担心机器可能有恶意软件,但恶意软件扫描报告什么都没有。 我开始了一个数据包捕获,只过滤掉有问题的NAT-PMP数据包,数据包几乎每隔一小时就会发生一次,但是不是每隔一小时就会发生一次。 Wireshark本身不能告诉我哪个进程正在发送数据包。 TCPView可以工作,但是我不得不确定我在数据包发送时几乎正好在机器上,因为列表并没有保留很长时间的closures或不活动的连接。 由于数据包每隔一小时都不可靠,这是一个令人沮丧的提议。 有关如何确定哪个进程以较大间隔发送这些数据包的build议?

如何通过唯一的IP地址分隔PCAP

我有一个小时的PCAP文件,它在我们的testingnetworking上有大约60个单独的networking攻击在这里工作。 每次攻击都来自一个独特的IP地址,这个IP地址在一小时内并没有在别处使用 我想从这个文件中制作60个pcap,还包括背景stream量。 发生攻击时没有真正的模式(即第一分钟可能有6个,接下来的10分钟可能会有1个)。 我可以将它们分离成只捕获攻击的文件,但我真的有兴趣在那里有背景stream量。 为了澄清我需要这个的理由,我正在使用这些数据来试图训练一个基于机器学习的networking传感器。

随着wireshark如何过滤数据包大小?

我可以使用包含data.len> = XXX的显示filter来过滤数据包长度,但我真的很想使用捕获filter来提高效率…有没有办法做到这一点?

Wireshark如何从其他ips读取数据

当我打开Wireshark时,我可以看到除了我的机器发送的数据包。 它怎么可能? 例 8252 99.150192 somoeneip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 8253 99.151204 fe8s0::15s34:12c8:2f2132:d99221 ff02::c SSDP NOTIFY * HTTP/1.1 8075 96.624367 otherip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 值被修改为隐私

在命令行中使用wireshark / tshark忽略ssh连接

我正在尝试通过查看数据包来debugging一些数据包,并且希望避免将所有SSH通信传送到服务器。 有没有办法忽略? 我试图做一些像tshark -f "port !22"但是在命令后停止监听。 [root@vpn ~]# tshark -f "port !22" tshark -f "port ls" Running as user "root" and group "root". This could be dangerous. Capturing on venet0 tshark: arptype 65535 not supported by libpcap – falling back to cooked socket. tshark: Invalid capture filter: "port ls"! That string isn't a valid capture […]

什么是要求在RJ45电缆上收听的电缆/盒子?

我想捕捉路由器的stream量,所以我假设必须有一个有3个RJ45袜子的电缆或硬件盒,其中两个是IN和OUT,第三个是捕获设备(在我的情况下是Linux主机)。 这种电缆/盒子叫什么?

任何人都知道一个很好的自包含数据包嗅探器?

在我的系统pipe理员/networkingpipe理职责的过程中,我需要对连接问题进行数据包嗅探。 不幸的是,这经常发生在我不“拥有”的机器上。 其他pipe理员,最终用户的家庭计算机或者我们希望避免安装新软件的服务器的权限范围内的服务器。 所以我想要一些可以在没有正确安装的情况下使用。 我个人使用WireShark为我的本地桌面。 很好用。 但是,对于上述情况显然不能削减。 我知道他们有U3和便携式应用程序版本,但这取决于物理访问插入USB棒。 这也不是我能指望的。 那么,有没有人知道一个数据包嗅探工具,可以使用没有真正的安装? 一些只包含在一个文件夹中的东西,可以在目标机器上转储,使用,然后轻松删除? 如果它只是一个CLI,那就太好了。 我总是可以将.cap文件移回我的桌面进行分析。 我个人更喜欢自由的东西(如自由的)和免费的(如啤酒)。 但是,专有产品和付费产品是完全有效的build议。

Windows Server 2008/2003 – 确定所有“已用”本地networking端口

我一直负责在100多台服务器上启用本地防火墙。 系统使用许多不同的端口运行许多不同的应用程序。 我开始了一个nmap扫描,但没有去每个系统,看数据stream(tcpdump),我想不出一个办法,我可以看到这些开放端口是否实际上连接和利用。 我知道有可能很难做到这一点,但我希望也有一个容易的方法。 是否有一个工具/脚本,将随着时间的推移观看打开的端口(如netstat)(不像netstat没有花哨的脚本),并把结果放入一些档案/日志forms?

脚本find正在发送的udp数据包的地址?

这是情况。 我有一个IP地址1.2.3.4端口2000发送udp数据包到一个未知的IP。 我想find未知的IP,所以我可以用iptables来阻止它。 有没有办法用脚本来做到这一点? 现在我正在手动使用 tshark -i eth1 -f "net 1.2.3.4 and src port 2000" 我不知道如何pipe这个脚本,并自动find目的IP地址。

有没有一种方法来“重放”一个smtp会话的数据包捕获为了debugging的目的?

我正在解决涉及字符集编码的smtp问题,涉及最终用户非常困难。 我有一个传入smtp会话的数据包捕获导致有问题的行为,但如果我尝试从wireshark复制/粘贴MIME源,则不会发生此问题。 我相当肯定的是,我testing的不同之处在于我从Wireshark“follow tcp stream”输出中复制数据包捕获中的string ,并不一定是数据到达时的按位准确复制在电线上。 所以我的问题是这样的:我怎样才能得到一个点对点的SMTP数据的一个精确的副本,并再次发送它的复制目的? 有没有办法“重播”传输?
Intereting Posts
build议:Docker Infastructure为新手,Flynn,Dokku和Deis还是普通的docker? 如何看SQL Servercaching命中率? 隧道层2 ssh 寻找专用MySQL服务器的磁盘I / O比较 无法通过SSH连接到我自己的系统 build立一个本地DNS服务器 邮件服务器存储后端:文件系统VS数据库 http和ftp可以使用相同的SSL证书吗? NameServer更改:如何检查域名命中我的服务器? 如何正确地为文件服务器执行灾难恢复? NUT UPS -Dummy驱动程序,适用于Synology NAS的中继模式 Hyper-V和12个虚拟机 crontab电子邮件反弹,其他人不但没有交付 Rackspace Cloud有多less停机时间? 在linux中查找进程的页面大小和页数