我有一个Windows XP计算机运行wireshark,连接到networking上的镜像端口。 我捕捉没有过滤,它只能看到一些双向TCP对话的一半。 我以为这是交换机上的一个镜像端口问题,但是我可以把同一根以太网电缆连接到一台运行相同版本wireshark的笔记本电脑上,并查看对话的两边。 我还看到更多的随机networking活动,例如NBNS查询,LLDP多播和Dynamic Truning协议数据包。 这似乎不是一个混杂的模式问题,因为我看到从A点到B点的TCP会话的一半,而我是C点。我尝试过更换网卡,但事实并非如此。 它不是随机的数据包丢失,因为我看到每个数据包的一方会话(基于序列号) 我正在寻找任何Windowsconfiguration或其他程序或线索,可以防止Wireshark捕获所有数据包。
我运行tshark转储无线stream量。 我目前在多个文件模式下运行,将输出分成50MB块。 有什么办法可以让这些50MB大块压缩成像gzip或lzma这样的东西? 我意识到,在单文件模式下,我可以将输出从tshark传输到gzip然后分割,但是我希望每个pcap文件都可以自行读取,而不需要解压缩压缩文件的每个部分。
我可以使用什么工具来计算pcap文件中TCP和UDP连接的数量?
我想知道是否还有更多其他有用的软件具有相同的function,或者更像是能够“播放”PCAP文件的TCPREPLAY软件? 感谢您的build议!
我的一些服务器收集了很多分组数据。 是否有一个实用程序(或补丁tcpdump(1) )logging一个pcapstream到磁盘: 根据写入的数据大小进行旋转 李子写的文件,只保留N最近 不重复使用输出文件名 是独立的 (排除,例如,通过crond(8) + tmpwatch(8)进行外部修剪的旋转) 基本上我想要一个多logging或svlogd唠叨pcaplogging格式。 tcpdump-4.0.0的-W filecount选项通过回收旧文件名来“修剪”,这违反了上述#3,迫使我咨询mtimes来确定新近性,并且不提供对日志文件的突然截断的保证。 -G选项在输出文件名中引入了strftime(2) –specifier支持,这会给我至less第二个精度的文件名,但我不知道如何得到修剪使用这个scheme。
我正在寻找一个命令行工具,它将查看捕获文件tcpdump -w输出,并提供相当于Wireshark 对话中获得的信息和端点统计信息的输出。 为了给你一点背景,我有一个很大的捕获输出(大约3GB,在40个文件中),我不能轻易地转移到一台运行Wireshark的机器上,因为它的带宽很低。
我有兴趣使用PCAP存储我嗅探的数据包。 由于我预先分配了我需要的内存 – 即我正在嗅探的接口的MTU的倍数,所以我想在打开实时会话之前发现我需要多less内存。 是否有可能查询PCAP获取嗅探接口的MTU? 我怎样才能得到这个信息(可能使用系统库)? 谢谢
我的任务是在networking级别监视和debuggingSOAP Web服务。 我可以使用tcpdump来捕获来自80端口的客户的整个stream量,但是我不能将每个请求的捕获限制在第一个接收到的应用层数据包(这种情况下最重要的数据包,它包含HTTP请求头文件和SOAP XML文档的开头)。 我想知道使用哪个tcpdump交换机(或其他linux命令的组合)来获取每个TCP连接的第一个数据包,并丢弃为同一个连接接收到的数据包的其余部分。 如果可能的话,从服务器发送给客户的第一个响应数据包(可能是唯一的,因为在这个应用程序中,响应XML文档很小)也是很好的。 tcpdump -i any -A 'tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)'从tcpdump手册页tcpdump -i any -A 'tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)'例子,所以我没有得到TCP握手数据包。 而-c开关的问题是tcpdump在捕获数据包后退出,而我需要它继续运行,并继续显示新连接的相同信息。 理想情况下,我需要类似于尾随apache访问日志文件,以及第一批有意义的请求和响应。
我广泛使用wireshark和microsoftnetworking监视器,但是我很好奇是否有其他好的(希望是免费/开源的)软件包来分析TCP / IPstream量? 我对networking问题的法医使用和分析特别感兴趣。
我正在尝试创build一个小型服务来监视和终止带有FIN标志的套接字。 我可以得到他们与tcpdump (我也尝试过tcp [13]&1): tcpdump "tcp[tcpflags] & tcp-fin != 0" tcpkill假设使用与tcpdump相同的接口,但是它的工作原理不一样。 我已经尝试了一堆命令,但它应该是(-i eth0可选): tcpkill -9 "tcp[tcpflags] & tcp-fin != 0" 其中说(但没有别的,成功的tcpkill输出数据): tcpkill:监听eth0 [tcp [tcpflags]&tcp-fin!= 0] 看看源代码,应该将正确的filter传递给pcap(在[]括号之间)。 使用Net :: Pcap的perl脚本我可以确定filter工作正常。 我不知道我在做什么错,或者如果它是旧版本的tcpkill / pcap这是一个问题。 任何帮助tcpkill或帮助使用perl的Net :: Pcap杀死套接字将不胜感激。 谢谢! #!/usr/bin/perl use strict; use warnings; use Net::Pcap; my $err = ''; my $dev = 'eth0'; my ($address, $netmask); Net::Pcap::lookupnet($dev, […]