我有一个VPCnetworking设置在谷歌云与几个实例运行。 其中一个实例就是一台VPN机器,允许我与互联网上的实例进行交互。 我想捕捉stream量: 从互联网到VPCnetworking。 为此我简单地在vpn机器上使用tcpdump。 在内部,即实例之间的数据包。 而且我不知道该怎么做。 我不能依赖我的实例(在我的情况下直接使用tcpdump不是一个选项)。 相反,因为在VPC中没有“真正的”networking层2,因为它是虚拟化的,我希望有可能以某种方式进入云端路由器并从那里捕获所有的数据包,但似乎不可能。 还是呢? 有人知道我能在这里做什么吗? 将不胜感激。 谢谢!
我最近遇到了一个场景(在一个商业环境中),我不得不在一个pcapng文件中更改一些源和目的ip。 我通过使用如下tcprewrite解决了这个问题: 假设我想将源和目标IP从192.168.0.0更改为192.168.0.5 tcprewrite –pnat=192.168.0.0:192.168.0.5 –infile=myfile.pcapng –outfile=myNewFile.pcapng 这工作完全按照我想要的,除了文件现在缺less接口描述块。 有没有办法阻止这种情况的发生,或者将数据添加回来? 另一个可以接受的答案是提供一个不同的方式来改变IP的,而不使用tcprewrite。
我正在寻找一种方法,通过数据包分析尽可能多地识别ISPnetworking上的消费VoIP用户。 我的设置是这样的: 在我的核心交换机上,进出千兆位1的所有stream量都跨越到千兆位2,在那里我连接了一台Linux服务器。 这是我一直在尝试的: 我跑tshark看我的networking和标准的SIP端口过滤。 就像是: tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile 运行了一个多星期,然后通过输出文件search唯一的IP列表。 我以这种方式看到了一些SIP用户,但几乎没有我应该做的那么多。 这种方法有什么问题吗? 据我了解,大多数主要的消费者VoIP产品,如Vonage,都使用SIP来进行信号传输。 我想要什么(我想): 我想实际分类协议,寻找SIP,RTP等。如果我安装L7filter,我可以使用iptables来标记我感兴趣的stream量,但我不知道我会从那里去得到一个独特的清单IP地址。 我接受任何build议。
我试图编写一个程序,重buildTCP会话。 我有一个pcap文件有数据包。 问题是我不知道哪些数据包,我应该用来构build会议时,有一个重发。 http://img412.imageshack.us/img412/4655/retransmission.png 这是什么wireshark显示关于这个会议。 我应该使用哪个数据包来重build会话? 首先数据包还是重新传输的数据包? 他们哪些有有效的数据? 我couldntfind一种方法来附加pcap文件,如果你想我可以上传pcap文件到某个地方。 对不起,我不能张贴图像到这里,因为我没有足够的声誉。
我怎样才能得到GET和HTTP / 1.0之间的响应时间差200 OK(我的意思是web服务器的时间延迟)使用tshark和shell或从pcap文件中的每个主机名的东西? 你能推荐我这么做吗?
从安全的洋葱看我的pcap后,我想筛选出一个主机(我们称之为192.168.4.4),并过滤掉一些stream量(端口80和443),目前的项目是看看其他交通不是networking相关的。 运行tcpdump / windump我可以做到这一点只需tcpdump -w notwww.pcap不是192.168.4.4不是端口80不是端口443 但我无法find文件或位置将其放置在configuration中。
我想要澄清一些我在这里读到的东西: 如何计算来自二进制TCPDUMP文件的丢包 第一个答案是,序列号将从客户端到服务器是相同的,从服务器到客户端的确认将是相同的,这将告诉你哪一方正在做转发。 但是,当我得到这样的输出: 10:58:15.317823 IP 1.2.3.4.50245 > 5.6.7.8.443: Flags [P.], seq 3040268:3040385, ack 56380, win 32768, length 117 10:58:15.317841 IP 1.2.3.4.50245 > 5.6.7.8.443: Flags [P.], seq 3040385:3040470, ack 56380, win 32768, length 85 10:58:15.550090 IP 1.2.3.4.50245 > 5.6.7.8.443: Flags [P.], seq 3040268:3040470, ack 56380, win 32768, length 202 10:58:15.811131 IP 1.2.3.4.50245 > 5.6.7.8.443: Flags […]
我有我的PCapfilter设置为“dst净10.36.95.0掩码255.255.255.0”。 这是因为它过滤掉了大部分stream量在10.36.95.0/24子网之外的目的地,唯一的例外是它仍然捕获到0.0.0.0的stream量。 任何想法为什么会发生这种情况,或者我能做些什么来过滤掉0.0.0.0呢? 一些额外的信息: $ sudo tcpdump -d dst net 10.36.95.0 mask 255.255.255.0 -i eth0 (000) ldj [12] (001) jeq #0x800 jt 2 jf 5 (002) ld [30] (003) and #0xffffff00 (004) jeq #0xa245f00 jt 10 jf 11 (005) jeq #0x806 jt 7 jf 6 (006) jeq #0x8035 jt 7 jf 11 (007) ld [38] […]
我正在尝试使用pcap文件进行stream量捕获。 我从CAIDA(caida.org)网站获得pcap文件。 这pcap文件太大,没有以太网头。 所以我通过使用editcap和使用tcprewrite附加以太网头分割pcap文件到小尺寸(40 MB)。 我使用从PC1到PC2的tcpreplay发送pcap文件stream量。 (PC1和PC2都有debian 8 linux)当我检查从wireshark收到的数据包数据时,数据包计数是好的,但长度太短。 在原来的pcap文件中,长度超过了1500,但是接收到的数据包的最长长度大约是300.我甚至改变了MTU的configuration,但是没有成功。 PS我觉得CAIDA pcap文件有问题。 当我捕获正常的networkingstream量并将其传输到PC2时,没有问题。 所以我想问一个问题。 我如何使这个pcap文件正常工作?
想要镜像一个networking防火墙接口,将该接口连接到Linux服务器,并让Linux服务器不断运行一个tcpdump并将输出存储在文件中。 具体来说,我的要求是一次又一次地保存pcap文件,因为文件的大小达到一个特定的数字。 例如: Juniper防火墙端口2镜像端口1上的所有通信。端口2连接到Linux服务器上的eth0。 Linux服务器有一个tcpdump进程在eth0上不断运行。 Linux服务器configuration为将stream量保存到名为“tcpdump.pcap”的文件中,但是当pcap文件超过特定大小时,则会压缩并重命名为“tcpdump.pcap.0.gz”。 当第二个文件超过特定大小时,它将被重命名为“tcpdump.pcap.1.gz”等。 这将允许我查看过去X时间内的networkingstream量(现在,我希望在过去72小时内具有可见性)。 这里的问题是,我不知道如何完成上述。 具体来说,如何让tcpdump连续运行,并自动保存pcaps,并按时间顺序自动压缩和重命名?