是否有什么可以打破tcpdump文件后捕获,并确保rest是在分组数据的边界? 像-C一样,但事实上。
我用iperftesting了它的链路质量。 测量的速度(UDP端口9005)是96Mbps,这很好,因为两台服务器都连接到100Mbps的互联网。 另一方面,数据报丢失率显示为3.3-3.7%,我发现有点太多了。 使用高速传输协议,我用tcpdumplogging了两端的数据包。 比我计算的丢包率 – 平均为0.25%。 有没有人有一个解释,这个巨大的差异可能来自哪里? 您认为什么是可接受的数据包丢失?
我想要tcpdump捕获VLAN 1000或VLAN 501. man pcap-filter说: vlan [vlan_id]expression式可以多次使用,以过滤VLAN层次结构。 每次使用该expression式都会将filter偏移量增加4。 当我这样做时: tcpdump -vv -i eth1 \( vlan 1000 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) 我得到捕获的数据包。 但是当我这样做: tcpdump -vv -i eth1 \( vlan 1000 or vlan 501 \) and \( ip host 10.1.1.98 or ip host 10.1.1.99 \) 我没有收到任何数据包 – 我认为是因为手册页中描述的“增加4”行为。 如何一次捕获多个VLAN上的stream量?
在debugging一个似乎无法连接的python irc bot的过程中,我想:“我知道,我只是用tcp dump来看看它在做什么”。 所以我像往常一样运行tcpdump,它说它是捕获的数据包,但实际上并没有写cap文件。 akraut@lance ~/pcaps $ sudo tcpdump -w pyhole -s 0 "port 6667" tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C17 packets captured 17 packets received by filter 0 packets dropped by kernel 4294966881 packets dropped by interface akraut@lance ~/pcaps $ ls -la total 8 drwxr-xr-x 2 akraut […]
我的挑战 我需要做很多数据的tcpdump – 实际上从混杂模式中剩余的2个接口,能够看到很多stream量。 把它们加起来 将所有stream量从2个接口logging在混杂模式中 这些接口没有分配一个IP地址 pcap文件必须旋转〜1G 当存储10 TB文件时,开始截断最老的文件 我现在做的 现在我使用这样的tcpdump: ifconfig ethX promisc ifconfig ethX promisc tcpdump -n -C 1000 -z /data/compress.sh -i any -w /data/livedump/capture.pcap $FILTER $FILTER包含src / dstfilter,以便我可以使用-i any 。 原因是,我有两个接口,我想运行在一个单一的线程而不是两个转储。 compress.sh负责将tar分配给另一个CPU核心,压缩数据,给它一个合理的文件名并将其移动到归档位置。 我不能指定两个接口,因此我select使用filter并从any接口转储。 现在,我不做任何家务pipe理,但我计划监控磁盘,当我剩下100G时,我将开始擦拭最旧的文件 – 这应该没问题。 现在; 我的问题 我看到丢包。 这是从一个转储已经运行了几个小时,收集大约250演出pcap文件: 430083369 packets captured 430115470 packets received by filter 32057 packets dropped […]
[root@localhost ~]# cat /etc/issue Fedora release 17 (Beefy Miracle) Kernel \r on an \m (\l) [root@localhost ~]# uname -a Linux localhost.localdomain 3.6.10-2.fc17.i686 #1 SMP Tue Dec 11 18:33:15 UTC 2012 i686 i686 i386 GNU/Linux [root@localhost ~]# tcpdump -i p3p1 -n -w out.pcap -C 16 tcpdump: out.pcap: Permission denied 为什么我得到错误? 我该怎么办?
我有一个防火墙这些简单的规则: iptables -A INPUT -p tcp -s 127.0.0.1/32 –dport 6000 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.16.20/32 –dport 6000 -j ACCEPT iptables -A INPUT -p tcp –dport 6000 -j REJECT 现在,假设我正在使用TCPDUMP : tcpdump port 6000 我有主机192.168.16.21试图连接到端口6000 。 请问/应该tcpdump输出一些来自192.168.16.21数据包?
我有一个不对称的双桥拓扑结构,如下所示,当我从ssh连接172.16.11.5和172.16.10.6,但由于SynProxy我无法连接。 ——- | | —o— 172.16.11.5 | | —–o—– 172.16.11.6 | | | | default gw 1.1.1.1 | | 1.1.1.2/30 –o—-o— 2.2.2.2/30 | | | | | | (enp10s0f0) —-o—-o—– | | | XXX | | | | br1 br0 | synproxy | | —-o—-o—– | | | | | | 1.1.1.1/30 –o—-o— 2.2.2.1/30 | […]
我正在运行一组负载testing来确定以下设置的性能: Node.js test suite (client) –> StatsD (server) –> Graphite (server) 简而言之,node.jstesting套件每隔x秒向一个位于另一个服务器上的StatsD实例发送一组量度的指标。 然后,StatsD每秒钟将指标刷新到位于同一台服务器上的Graphite实例。 然后我看看testing套件实际发送了多less指标,以及Graphite收到了多less指标,以确定testing套件与Graphite之间的数据包丢失情况。 但是我注意到,我有时会得到非常大的数据包丢失率(请注意,它是使用UDP协议发送的),从20%到50%不等。 那么当我开始研究这些数据包被丢弃的位置时,就会发现StatsD可能会带来一些性能问题。 于是我开始在系统的每个部分logging指标来追踪这个下降发生的地方。 这是事情变得怪异的地方。 我正在使用tcpdump来创build一个捕获文件,我testing完成后运行。 但是每当我运行tcpdump运行testing,数据包丢失几乎是不存在的! 它看起来像tcpdump以某种方式增加我的testing的性能,我不明白为什么以及如何做到这一点。 我正在运行以下命令在服务器和客户端上loggingtcpdump消息: tcpdump -i any -n port 8125 -w test.cap 在一个特定的testing案例中,我发送了40000个指标/秒。 运行tcpdump时的testing数据包丢失率约为4%,而没有数据包丢失率约为20% 两个系统都以Xen VM的forms运行,具有以下设置: Intel Xeon E5-2630 v2 @ 2.60GHz 2GB内存 Ubuntu 14.04 x86_64 我已经检查过的潜在原因: 增加UDP缓冲区的接收/发送大小。 影响testing的CPU负载。 (最大负载40-50%,客户端和服务器端) 在特定的接口上运行tcpdump而不是“任何”。 使用'-p'运行tcpdump来禁用混杂模式。 仅在服务器上运行tcpdump。 这导致20%的数据包丢失,似乎不影响testing。 仅在客户机上运行tcpdump。 这导致了性能的提高。 将netdev_max_backlog和netdev_budget增加到2 […]
这似乎是一个相当微不足道的问题,但经过一番search,我无法找出答案。 可以使用“any”作为接口描述运行tcpdump,即: # tcpdump -i any -n host 192.168.0.1 有什么办法强制tcpdump显示哪个接口显示数据包被捕获? 更新: 随着更多的人证实这可能是不可能的香草tcpdump,有人可以提出一个解决scheme提到的问题? 也许不同的嗅探器? 一般问题如下:在具有50个接口的系统上,确定来自特定IP地址的数据包的入站接口是什么。