服务器 Gind.cn

Articles of tcpdump

按时间和大小限制tcpdump捕获文件

我有一些问题得到tcpdumplogin所有的互联网stream量的接口有以下限制: 我想每个小时都有一个新的pcap文件,名称中包含时间和date标签 如果在这个小时内的pcap文件变得大于100M,那么使用与之前相同的名称创build一个新的pcap文件,但带有-2 -3 -4 …后缀。 我正在玩下面的命令: tcpdump -pni eth0 -s65535 -G 3600 -C 100 -w'/var/log/tcpdump/trace_%Y-%m-%d_%H:%M:%S.pcap' 因此,我确实每小时都会得到一个日志文件,但是如果文件大于100,它似乎不会分裂文件。 有谁知道我在搞什么? 欢呼的帮助

tcpdump服务器Hello证书filter

在位于本地networking和路由器之间的设备上(所有stream量都经过),我需要从Hello Server Certificate数据包中读取公共名称。 所以我想弄清楚如何使用tcpdump获得适当的filter。 我从这篇文章中find了帮助: http : //www.wains.be/pub/networking/tcpdump_advanced_filters.txt 它解释了如何在IP和TCP字段上使用高级filter。 我尝试这种filter: tcpdump -i any 'tcp and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)' -A -s 0 -v | grep 'Host\|id-at-commonName=' 正如文中所解释的,“我们正在匹配任何包含数据的数据包”。 它适用于许多其他数据的Host字段,但我不能匹配在SSL字段(所以在TCP数据字段?)的字段id-at-commonName= 。 为了确保我捕获了一个完全相同的filter(没有grep)pcap文件,当我用Wireshark打开它,我可以得到每个证书的通用名称。 我必须使用tcpdumpfilter,因为我需要“即时”获取数据。 有人可以告诉我为什么不能通过tcpdump看到这些数据?

如何使用tshark或tcpdump来计算传输的字节数

我用tshark使用这个命令: tshark -r pcapfile "tcp and ip.src==192.168.1.1" -T text -V -x | grep 'Total Length' 这基本上parsing了来自源ip的连接的pcap,并从每个包中查找总长度(以字节为单位)。 我得到这样的输出: Total Length: 125 Total Length: 210 Total Length: 40 Total Length: 125 > etc, etc…. 我需要做的是从Total Length中获取数字,然后将它们相加,这样我就可以了解在单个IP的pcap时间范围内通过networking传输了多less数据。 有一个命令,我可以添加在我用来做到这一点的结尾? 或者有没有一种方法可以直接inputstdout,然后将其传递给一个可以parsing和计算我之后的程序? 任何人都知道与tcpdump类似的命令可以做到这一点?

如何使用tcpdump和滑动窗口或类似“logrotate”捕获stream量?

我想用tcpdump捕获一些stream量来排除故障。 问题是,错误是不可重现的。 为了不用填充孔盘,我想用某种滑动窗口捕捉交通。 假设我将捕获写入文件,当文件达到1GB大小时,将丢弃最旧的数据包并写入新的数据包。 这样我只能得到几个小时的stream量,但希望足够有正确的数据包时,用户的电话。 我找不到tcpdump的选项。 有人有一个想法如何解决这个问题?

使用Mac OS X上的进程IDloggingnetworkingstream量?

我想logging在Mac OS X服务器上的所有networkingstream量(如tcpdump一样),但包括负责的stream程的ID。 使用lsof只会给我当前的连接,而不是过去的连接。 有没有办法做到这一点? 问候,乔臣

如何将捕获的数据包发送到不同的目的地?

我有一些在pcap文件中使用tcpdump捕获的数据包。 现在我想把这些数据包发送到另一个目的地。 我怎么能做到这一点?

防火墙阻止stream量 – 如何找出软件使用哪些端口/ IP地址?

当我试图使用一个软件时,我得到了一个“主机无法访问”的错误。 我不知道他们使用哪个端口,也不知道他们想要达到的地址。 有没有一个或多或less简单的方法来解决这个问题? 我有一个叫wireshark的程序 – 但是数据很庞大。 有没有其他的方法来过滤数据,以获得一个良好的概述?

在iptables中使用tcpdump?

我使用iptables来阻止我的服务器上的不同types的攻击。 我们有不同的规则和不同的费率限制规则。 现在我还使用一个脚本,如果它大于10mb / s,将会观察阈值,并将所有数据包转储到文件中。 此脚本始终在屏幕会话中始终运行,并使用以下命令来转储: tcpdump -nn -s0 -c 2000 -w Attack.cap sleep 300 一旦被攻击,它会等待5分钟来检查另一次攻击(睡眠300)。 现在我怀疑是否在数据包捕获过程中,iptables仍然工作,因为在/ var / messages我看到行像“eth0进入混杂模式”和“eth0离开混杂模式”,所以它可能会超过iptables?

tcpdump语法,用于捕获到达特定虚拟接口/本地IP的stream量

CentOS 5.x 大家好, 我需要收集https请求的数据包捕获到特定的IP地址/虚拟接口。 有一个特定的开关/ tcpdump的参数,将允许吗? 其他IP会收到很多stream量,所以我宁愿不捕获有关它们的数据,也不得不稍后过滤它们。 -M

嗅探特定的二进制文件/应用程序/进程ID的数据包?

有没有办法将数据包与执行二进制文件关联? 我会开放传统的嗅探方法,甚至对这个问题的dtrace 。 对于stream量非常高的系统,我有一个特定的问题。 嗅探“所有”数据包并对它们进行过滤正成为一个非常繁琐的问题,并且消除所有数据包的发射,但是在这种情况下不可能发生。
Intereting Posts
使用apache2在同一台服务器上提供http和https PowerShellpipe道对象的function 权限被拒绝,但在redhat上组权限看起来不错 如何判断OpenVPN隧道是否已经build立? 在CentOS上安装Mac OS X 10.7共享? 如何selectLinux temp / tmp /临时目录溢出磁盘 lighttpd – 为diff url使用不同的文档根目录 是否可以在Cloud Watch中设置默认时间段? Linux中“chkconfig”运行级别“S”(大写S)和“B”(大写B)的含义 PXE代理退出后,启动卡住了 apache2 mod_mono不能正常工作 Windows 7上无声的registry更改 有SQL Server 2008 64位的SSMS和BIDS的64位版本吗? 使wwwroot文件夹可写是否安全? 服务器返回特定脚本的http 504错误代码