服务器 Gind.cn

Articles of pcap

tcp零窗口消息的tcpdumpfilter

是否有一个pcapfilter的TCPDump,将允许过滤零窗口消息? 我知道如何在tcp.analysis.zero_window显示filter( tcp.analysis.zero_window )中过滤这些数据,但是我需要处理的数据量很容易导致wireshark(至less是32位版本)崩溃,并且分解文件并通过这些捕获乏味。 有无论如何有一个捕获filter的TCP零窗口消息?

wirehark捕获的snort分析

我正在尝试识别networking上的用户问题。 ntop识别高stream量和高连接用户,但恶意软件并不总是需要高带宽真的搞砸了。 所以我试图用snort进行离线分析(不想让路由器通过内联分析20 Mbps的stream量)。 显然,snort为此提供了-r选项,但是我无法运行分析。 分析系统是gentoo,amd64,万一有什么区别。 我已经使用oinkmaster下载最新的IDS签名。 但是,当我尝试运行snort,我不断收到以下错误: % snort -V ,,_ -*> Snort! <*- o" )~ Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux '''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team Copyright (C) 1998-2010 Sourcefire, Inc., et al. Using libpcap version 1.1.1 Using PCRE version: 8.11 2010-12-10 Using ZLIB version: 1.2.5 %> snort […]

数据包捕获:在RX与TX上进行过滤

我有一个networking问题,其中与我的主机的源MAC匹配的源MAC帧到达主机 – 一个明显的重复的MAC,或循环,或其他L2问题。 我相信这是因为我的linux网桥的MAC表(CAM表)注册一个本地MAC(托pipe虚拟机)作为上游端口,内核日志显示错误: bridgename: received packet on bond0.2222 with own address as source address 我想获得关于这些“stream氓”数据包/帧的更多细节,但我无法弄清楚如何将它们归零。 使用tcpdump你可以过滤一个特定的源MAC('ether src MAC'),但这是基于帧中的字节 – 而不是帧是“发送”还是“接收”。 我们通常假设一个源MAC的帧意味着我们将它发送出去,但是如果收到一个重复的帧,内容看起来与filter完全一样。 怎样才能观察一个帧是否被收到,而不是在一个包捕获中传输?

通过TCP连接分割pcap文件的工具?

是否有工具将分组捕获文件(以pcap格式)拆分为每个TCP连接的单独文件? (除了可能需要在捕获上运行两次的本地生成的shell脚本…)。 像wireshark的“遵循TCPstream”,但对于命令行(恐怕wireshark将显示一个700 MB的数据包捕获时将消耗大量的内存) 我看着tcpflow,但似乎产生比原来的pcap文件大得多的文件,他们似乎不是在pcap格式。

如何将pcap文件分割成一组较小的文件

我有一个巨大的pcap文件(由tcpdump生成)。 当我尝试用wireshark打开它时,程序只是无响应。 有没有办法把文件分成一组小文件逐一打开? 在一个文件中捕获的stream量是由两个服务器上的两个程序生成的,所以我不能使用tcpdump的“主机”或“端口”filter来分割文件。 我也试过linux'split'命令:-)但没有运气。 Wireshark无法识别格式。

我怎样才能以友好的格式读取pcap文件?

pcap文件上的一个简单的猫看起来很糟糕: $cat tcp_dump.pcap ?ò????YVJ? JJ ?@@.?E<??@@ ?CA??qe?U????иh? .Ceh?YVJ?? JJ ?@@.?E<??@@ CA??qe?U????еz? .ChV?YVJ$?JJ ?@@.?E<-/@@A?CAͼ?9????F???A&? .Ck??YVJgeJJ@@.?Ӣ#3E<@3{nͼ?9CA??P?ɝ?F???<K? ?ԛ`.Ck??YVJgeBB ?@@.?E4-0@@AFCAͼ?9????F?P?ʀ??? .Ck??ԛ`?YVJ?""@@.?Ӣ#3E?L@3?Iͼ?9CA??P?ʝ?F????? ?ԛ?.Ck?220-rly-da03.mx 等等 我试图使它更漂亮: sudo tcpdump -ttttnnr tcp_dump.pcap reading from file tcp_dump.pcap, link-type EN10MB (Ethernet) 2009-07-09 20:57:40.819734 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776168808 0,nop,wscale 5> 2009-07-09 20:57:43.819905 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win […]
Intereting Posts
将邮箱从Exchange Server 2010迁移到Office 365 从全闪存NAS提供漫游configuration文件时,需要比基于SAS的NASlogin需要双倍的时间 如何防止autofs挂载在特定的目录? 是否有可能“皮条客”腻子自动生成日志,并运行多个会话在一个窗口(类似的Linux“terminal”)? nginx无法绑定到80端口。没有任何端口80上运行 通过cronjob运行一个bash脚本来重新启动服务 在数据中心pipe理静态IP地址 检测连接到我的networking的设备 Arp代表Linux上的其他设备回复 Ansible其实来自另一个主机 将VM从XenServer转换为VMware 使用浮动IP(静态IP)从DigitalOcean液滴向第三方进行API调用 使用系统监视器监视复制 BIND可以根据请求的IP地址更改响应吗? Apache的SetEnvIf Request_URI 404找不到错误