(本来,我把它发布到StackOverflow,我把它移到networking工程,然后在这里。) 我有TP-LINK WR841N v9路由器并安装OpenWRT固件CHAOS CALMER (15.05.1, r48532) 。 我有/etc/config/network内容: config interface 'lan' option force_link '1' option type 'bridge' option proto 'static' option ipaddr '10.15.252.3' option netmask '255.255.254.0' option gateway '10.15.252.1' option ifname 'eth0 eth1' 这里是ip link ls的输出: 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: […]
我试图在一台机器上接收多播,将其转发到另一台机器,然后在该机器上重播。 test_env :可以访问原始组播stream的机器 mcast_sender :我试图转发多播并重新组播的机器 我到目前为止所尝试的是: 结合tcpdump , netcat和tcpreplay我已经尝试了以下内容: 在test_env : 我有一个执行IGMP连接的Python脚本,只是永远坐在那里,从套接字读取和丢弃数据(只是保持打开的套接字) $ ./mcast_sub INADDR_ANY 239.194.5.1 21001 & 现在有问题的接口将接收组播数据,所以我可以运行一个tcp_dump : $ sudo tcpdump -i eth5 host 239.194.5.1 > /tmp/capture.pcap 我现在可以在pcap文件上运行tail ,并将其pipe理到netcat $ tail -f /tmp/capture.pcap -n+1 | nc -l 12345 在mcast_sender : 在mcast_sender我可以从netcat端口接收这些数据,并将其转储到本地文件: $ nc test_env 12345 > /tmp/capture.pcap 使用tcpreplay我可以读取mcast_sender上的捕获文件并重播它 $ sudo tcpreplay –intf1=eth8 /tmp/capture.pcap […]
我有一个networking命名空间在我的服务器上运行,并在命名空间内,我有一个接口eth0 。 我不能直接列出这个接口通过SSH到服务器,因为它是在命名空间。 是否有可能将命名空间中的所有stream量通过socat隧道到Unix SOCKET,然后在命名空间外访问此套接字的内容,然后将其发送到wireshark? 就像是 在命名空间shell的pipe eth0 > ~/mysocket.sock 从我的笔记本电脑socat TCP-CONNECT:5000 UNIX-LISTEN:server:mysocket.sock tcpdump -i lo0 5000 我怎么能做到这一点?
我已经在路由模式下设置了OpenVPN服务器。 当我尝试通过SSH连接到我的VPN服务器时,它挂在: ssh -i .ssh/mpolitaev_mba [email protected] -vvv OpenSSH_7.4p1, LibreSSL 2.5.0 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 20: Applying options for * debug1: /etc/ssh/ssh_config line 97: Deprecated option "useroaming" debug1: /etc/ssh/ssh_config line 105: Applying options for * debug2: resolving "192.168.200.1" port 22 debug2: ssh_connect_direct: needpriv 0 debug1: Connecting to 192.168.200.1 [192.168.200.1] port 22. debug1: […]
我把我托pipe的网站移到了一台新机器上,在我closures之前,我正在等待所有的stream量在旧机器上消失。 主机是fedora 24在linode上运行。 所以我注意到,现在只有一个IP号码连续打到机器上,我不知道我在看什么。 在我的linode图上,我看到“tcp6”图上一个稳定的stream量ping,所以我看netstat,我看到这个: # netstat -nt Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 236 ….. <my SSH connection to the machine> … ESTABLISHED tcp6 0 0 45.79.130.46:80 113.212.156.53:80 SYN_RECV 这些消息不断发生,并没有在日志中的日志,所以它似乎正在试图在我的服务器上的某种滥用,但我不明白它的本质。 然后为113号码运行一个tcpdump,这就是我所看到的: tcpdump -nv -tttt -i eth0 -s 65535 port 80 and \( src 113.212.156.53 or […]
我正在尝试使用tcpdump来自动处理pcap(将它们存储在ELK中)。 我的问题是我需要访问TCP标志,我不能确定一个数据包是TCP还是UDP。 如果我使用-q ,在目标端口号后面有一个相当明显的字段,但是不显示TCP标志: Oct 04 16:47:21.058974 00:08:e3:ff:fc:04 00:00:5e:00:01:19 171: 10.193.47.54.3389 > 10.60.2.87.54075: tcp 117 (DF) [tos 0x2 (E)] (ttl 127, id 14452, len 157) Oct 04 16:47:21.058990 2c:76:8a:53:2f:d6 00:08:e3:ff:fc:04 157: 10.60.7.17.54934 > 10.194.151.66.53522: udp 115 (ttl 62, id 0, len 143, bad ip cksum 0! -> c90d) 如果我删除了-q标志,这个字段大部分消失。 它只填充UDP数据包,但不是每一次(特别是DNS和SNMP请求)。 Oct 04 16:49:52.964277 00:08:e3:ff:fc:04 00:00:5e:00:01:19 […]
总是noob在这里所以提前歉意错过任何关键细节。 我们有一个web服务器,可以在192.168.2.1本地访问。 它也可以在本地访问176.XXX.XXX.XXX,这显然是一个外部IP。 当远程访问外部IP时,我的浏览器超时,所以我猜这是一个防火墙问题。 我们有一个在192.168.2.6上运行的Billion 7800DXL。 在十亿的pipe理员中,我可以看到有一个虚拟服务器为端口80,2223和3306在TCP上设置为192.168.2.1。 有其他东西阻止访问? 如果我错过了重要的细节让我知道。 还有192.168.2.1有一个Linux防火墙,所以也许这是问题? 在networking服务器上运行以下tcpdump -vvv -ni eth0 host 185.186.79.109会给我: 15:19:08.111133 IP (tos 0x0, ttl 55, id 28066, offset 0, flags [DF], proto TCP (6), length 52) 185.186.79.109.50554 > 192.168.2.1.http: Flags [S], cksum 0xb153 (correct), seq 3499157894, win 29200, options [mss 1452,nop,nop,sackOK,nop,wscale 9], length 0 15:19:08.111189 IP (tos 0x0, […]
我希望我们的networking服务器可以从外部访问。 我们有一个静态的IP – 176.35.XXX.XXX,它可以在与networking服务器相同的networking上访问,但是在外部超时。 当从外部访问这个IP地址时,我可以看到某种连接是对Web服务器进行的。 tcpdump -vvv -ni eth0 host 82.132.234.1 (82.132.234.1是外部IP) 07:02:19.829368 IP (tos 0x0, ttl 52, id 21914, offset 0, flags [DF], proto TCP (6), length 60) 82.132.234.1.35140 > 192.168.2.1.http: Flags [S], cksum 0x176a (correct), seq 1704363497, win 14600, options [mss 1452,sackOK,TS val 3000815731 ecr 0,nop,wscale 9], length 0 07:02:19.829418 IP (tos 0x0, […]
我有一个路由器运行与tcpdump安装lede tcpdump –version # tcpdump version 4.9.0 # libpcap version 1.8.1 当我像这样运行它时: tcpdump -vnes0 -i eth0 port 67 or port 68 我可以看到 00:00:24.122791 00:00:00:00:69:6f > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 346: vlan 3, p 0, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328) 0.0.0.0.68 > 255.255.255.255.67: […]
我正在分析具体界面上的日志,并想知道为什么这个命令在小负载testing: tcpdump -i enp21s0f0 -s0 -w /tmp/dump2.cap` 只有75 MB的时候 ethtool -S enp21s0f0 / ifconfig enp21s0f0 显示了大约80 MB的数据(我比较了testing前后的rx_bytes和tx_bytes以获得此值)。 之后,我对一个ARP数据包进行了相同的testing(多次),tcpdump获得了64个字节,但是ethtool显示了68个字节。 那么,在这4个字节中包含了什么内容,并且有可能捕获这些字节呢? 或者,至less,预测它们?