我想收集两台主机(A和B)之间发送的TCP / UDP数据包的统计数据。 我正在寻找一个安装在A和B上的工具来获取以下信息: 千比特/秒 包/秒 (累计)字节发送到目前为止 (累积)数据包发送到目前为止 平滑的窗口 有iptraf ,但我很难从命令行configuration它。 tcptrack不汇总数据…我有点失落..:DI可以脚本tcpdump:/ 也许,我很想念一些非常明显的事情。 更新:两台服务器运行Ubuntu 14.04。 更新2:我现在用tcpflow(日志增长非常快)实验,我将检查collectId 更新3:跟踪给定的IP或networking的stream量最简单的方法是使用IPTABLES和IPTABLES collectD插件。
我们通过互联网连接到端口80上的一台远程服务器无法正常工作。 (不时有它工作,有时不) 这肯定是某种丢包,因为从其他客户端没有问题。 这只是从一个客户端到远程服务器。 通常,我用ping消息丢包,但是远程服务器阻塞ICMP。 我做了一个二进制TCPDUMP文件。 我怎样才能看到是否有包丢失? 捕获是在客户端完成的。 我们没有ssh访问远程服务器。
我正在Amazon EC2实例上运行tcpdump来监视去往Nginx的HTTPstream量(这只是一个testing框,唯一的资源就是示例testing页面)。 使用该命令运行tcpdump # tcpdump -vn -i any port 80 显示浏览器对网站请求的数据包,但在使用Python脚本(使用Requests库)或手动创build数据包(Scapy)访问页面时不显示任何内容 。 没有本地防火墙运行,安全组已正确设置。 这些脚本可以正常工作:我可以很容易地捕获本地端的tcpdump中的事务,并返回状态为200 OK的页面。 将数据包直接保存到文件(-w)也没有什么区别,排除了缓冲问题(我相信?) 我也试过看看VLAN是否导致问题,但没有运气; grepping for“80”仍然没有结果。 问题: 什么可能导致tcpdump错过这些相当具体的数据包, 肯定是通过防火墙到Nginx,并退出了? 为什么从脚本发送的数据包滑过Firefox的数据包? 谢谢
我们最近在我们的networking上build立了一个新的Ubuntu 12.04LTS服务器。 它没有完全configuration,所以它不会超出sshd和默认的apache2安装。 但今天晚上,它似乎已经坠毁。 它没有响应networking或键盘。 但最糟糕的是,它把整个networking都拿下来了。 我对OSI第3层以下的networking堆栈的了解是非常有限的,所以剩下的让我困惑。 当这台机器连接到networking时,没有其他机器可以连接到外部networking。 当事情中断时,运行arp显示我们网关的IP地址( 10.0.1.1 )被列为“无效”。 从networking上拔下服务器可以解决问题,并将其重新插回。 所以坠毁的服务器宣称拥有网关的IP地址? syslog中没有任何问题导致问题。 关于如何弄清楚什么是错误的,或者我们可以做些什么来防止它再次发生的任何想法? 我很犹豫现在甚至把机器放回networking上。 ****更新**** 它再次坠毁,我运行了tcpdump -penn arp (感谢bahamat!)几分钟,得到了这个…(删除了时间戳和重复行) 00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.1 tell 10.0.2.191, length 46 00:1e:65:f8:dc:24 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 10.0.1.44 tell 10.0.2.191, length 46 60:d8:19:d4:71:d6 > ff:ff:ff:ff:ff:ff, ethertype […]
我正在使用TCPDUMP来捕获特定IP地址的stream量。 是否有可能捕获新的连接,意味着以SYN数据包开始的TCPstream? 谢谢
如果有人能指点我一个工具或方法来从实时HTTPS连接(直接从networking)或networking跟踪文件(pcap文件)中提取SSL / TLS证书,我将不胜感激。 我尝试使用ssldump,但我无法提取证书。 我也可以使用Wireshark(手动),但我想以自动的方式做到这一点。 我为此使用Linux平台。 谢谢 编辑:我想提取的SSL证书比服务器发送到客户端(浏览器)在SSL握手期间。 我想使用networking嗅探器(tcpdump)来捕获networking中的SSL连接,然后从生成的pcap文件中提取证书(或者直播)。
我指的是这个线程: 如何将一个pcap文件拆分成一组较小的文件 我试图使用命令tcpdump -r old_file -w new_files -C 4096和tcpdump返回tcpdump: invalid file size 4096 到目前为止,我已经testing,直到2048年(x1,000,000字节),它成功地将文件分割成2GB的大pcap文件。 有没有办法将一个大的pcap文件(例如20GB)分成4GB的小文件?
我对tcpdump相当陌生。 我从来没有使用它,除非是非常琐碎的任务。 最近,我被要求完成以下工作。 我有:一个networking接口连接到交换机的服务器。 该交换机上的所有stream量都将镜像到此服务器。 我需要:将所有这些stream量存储到PCAP格式文件。 该文件应该包括 只有传出或传入stream量感兴趣。 仅在子网内传输的stream量不是必需的,如果可能的话不应logging。 所有的多播和广播stream量都不感兴趣,如果可能的话应该忽略 我只需要以太网 – > IPv4 – > TCP,UDP和ICMP。 其他人不感兴趣,如果可能的话应该被忽略 我不需要邮件正文。 头(以太网,IP和TCP / UDP / ICMP)就足够了。 所以如果可能的话,身体不应该被logging 在白天stream量将达到〜100MByte / s,对于我的工作,丢包是不可容忍的(它必须连续 24小时)。 无论如何,如上所述,我并不需要一切。 题: 我该怎么做? 我应该怎样处理,以便所有数据都能顺利收集而不会丢失(几乎)。 谢谢。
我的Web应用程序中有一个错误,我无法重现。 所有的日志看起来不错,或者至less我看不出什么不寻常的东西。 但它发生。 所以我想我可以logging所有的stream量到/从我的网站等待的错误发生,并有这个,重播它以某种方式在我的testing环境。 它确实发生了! 所以我有这个数据: tcpdump -s 1514 -X tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0) -Z root -C 20 -W 1000 -w capture.cap 我不知道该怎么办。 我有一个运行相同版本的Web应用程序的虚拟机,我想重播logging的数据。 我应该如何处理这个? [编辑] 我试着用tcpreplay做这个例子,但是我的web服务器没有logging任何stream量。 我的testing机器(Fedora 8)运行在VMWare Player中。 假设机器的IP是192.168.41.128,它有一个networking接口:eth0(loopback除外) – 在我的情况下,示例中的步骤#2和#3应该如何? 我应该在同一台机器上运行还是从另一台运行?
我有一台服务器正在接收来自交换机上的镜像端口的stream量。 连接到此镜像端口的接口处于promisc模式。 当我只使用一个普通的接口上的所有tcpdump,就像 tcpdump -nn -i eth1 我看到大量的stream量。 我甚至可以用这种方式来处理某些事情,比如443端口。 tcpdump -nn -i eth1 | grep 443 显然这显示了其中有443个,而不仅仅是端口443的任何东西。我已经通过视觉检查了它,并且看到类似这样的东西: 15:08:08.112550 IP 12.34.56.78.1430 > 87.65.43.21.443: . ack 35124 win 32768 但是我只想要443端口 tcpdump -nn -i eth1 port 443 … 0 packets captured 奇怪的。 当我使用filter时,我看不到任何stream量。 我曾尝试“IP端口”,“DST端口”,和其他一些filter。 我也试着过滤IP而不是端口。 没有。 eth1 Link encap:Ethernet HWaddr 00:24:81:A5:AD:7A inet6 addr: fe80::224:81ff:fea5:ad7a/64 Scope:Link UP BROADCAST RUNNING […]