我想捕获以太网4上的stream量,但是您可以看到,尽pipe以太网4存在于networking和共享中心,但Wiresharknetworking接口中不存在以太网4。 界面列表屏幕截图: networking和共享中心的屏幕截图: 我使用windows 10和wireshark-2.0.4的最新版本
75%的第三方API调用正在下降。 发生这种情况时,将传播到我的调用代码作为请求被中止:无法创buildSSL / TLS安全通道错误。 这是一个Wireshark捕获的RST ACK发生2个调用: 失败的捕获 。 这是一个成功的连接Wireshark捕获比较: 成功捕获 。 我无法弄清楚是什么导致RST ACK标志。 几件我注意到的事情。 TCP DUP ACK在成功和失败之间是常见的。 它似乎有时从它恢复。 服务器似乎不支持SACK_PERM = 1。 不知道这是否有关。 关于为什么TCP RST ACK正在发生的任何想法?
我是Wireshark的新手,当我运行Wireshark的时候,它显示了源地址是IP地址,但是目的地址是239.255.255.250,信息标签显示M-SEARCH * HTTP / 1.1。 我的问题是,如果有一种方法来解码信息,并find哪台机器正在使用哪个url。 谢谢
我有一种情况,三个不同的NFS客户端之一会在一段时间后(某些天数)中断。 我发现破损的主机和服务器不断地发送'ack'数据包(达到100 + mb / s)。 双方都发送相同的数据包,双方都不会重发任何实际的数据。 1最终服务器将重置连接,NFS将在短时间内(2-4分钟)正常运行。 服务器重新启动将修复所有事情,直到数天后再次中断。 环境是其他环境的重复,其他NFS客户端从来没有这个问题(相同的操作系统和应用程序版本)。 在排除故障的同时,我看到wireshark将数据包报告为“TCP ACKed unseen segment”,但我不明白为什么。 数据包#28517有Ack = 2194563093和数据包#28513有Seq = 2194563093 …这是数据包被确认,对不对? 我做了另一个干净的捕捉,看起来是一样的,所以我不明白为什么它显示了这样的。 2 我主要查找debuggingNFS问题(客户端的SLES,服务器端的EMC VNX)的提示,并确认wireshark输出是错误的(否则这是我应该深入研究的实际线索)。 编辑:服务器和客户端在相同的交换机,相同的子网。
我有一个NAT后面的几千台设备与两台服务器通话。 每个设备都在本地路由器(思考调制解调器/路由器)的后面,在这个路由器上,这些路由器将NAT转换到拥有数千个这些设备的专用networking,并且在这个专用networking的网关上,来自这些设备的TCP会话获得NAT过载/dynamic地PAT到单个全局IP地址上的端口。 这意味着,设备1将与服务器通话,连接将来自global_ip_of_the_router:port_number_1。 一旦设备1完成通话,并且NAT关联被移除,则当设备2想要与同一服务器交谈时,远程路由器可以向设备2分配相同的全局端口,即服务器可以看到来自global_ip_of_the_router:port_number_1的新的TCP连接 这些设备本身启动一个TCP连接,做一个小文件的HTTP POST,断开TCP连接,为下一个文件build立一个新的连接等。这适用于〜20个文件,之后在SYN上,设备从服务器取回没有SYN的ACK。 ACK具有与SYN上的序列号完全不同的ACK号。 设备立即发送一个RST,在1秒后退出并从同一个源端口尝试一个SYN,仍然只是ACK,所以在放弃之前它会保持退后3,6,12,24,48秒。 在设备的RST上,似乎是使用ACK中的SEQ,试图closures旧的连接(从服务器的angular度来看) 远程主机是AWS ELB。 以下是我们所做的假设和我们所尝试的: 远程路由器必须处理TCP会话死亡,并且超时NAT,并且比目标服务器(ELB)更快地重新使用全局端口。 这可能会导致ELB处于TCP_TIME_WAIT状态,这就是为什么它使用ACK来响应SYN。 由于ELB的TCP TIME WAIT不是已知的,假设它是Linux内核默认的标准60秒,它将匹配远程路由器上的FIN / RST后NAT超时。 不过,我们在路由器上将其更改为70秒,以避免任何竞争条件。 这并没有使问题消失。 我们认为,如果远程路由器更快地杀死了NAT,则会在设备进行退避时为SYN重试分配新的NAT。 如果dest服务器上的问题与远程路由器上使用的全局端口号绑定,那么看到新的SYN来自路由器IP上的新的全局端口应该会导致它离开奇怪的状态。 现在,虽然我们可以看到这个工作,但是看起来新分配的NAT端口在服务器上也遇到了同样的问题,它返回了一个假ACK,但是又有一个不同的ACK号。 另一种假设是,这只是在SYN上的SEQ比在远程路由器上使用相同的全局端口的最后一次连接上的序列号低时发生的。 即伪ACK上的ACK编号将总是高于SYN上的SEQ。 (我们将Wireshark切换到绝对序列号来查看)。 然而事实certificate,我们看到SYN SEQ比假ACK上的ACK号更多的情况。 所以这个理论走到了一边。 我们现在对这里可能发生的事情感到不知所措。 我们的怀疑是在新连接获得与旧连接相同的全局端口,但是,如果是这样的话,(a)通过使路由器保持更长的NAT,应该阻止它,并且(b)通过使路由器先closuresNAT,然后为同一连接尝试分配一个不同的NAT,这应该避开这个问题。 在这里理解行为的任何帮助将非常非常感激。 Wireshark跟踪: http : //www.filedropper.com/traffictrace-anonymizedandpacketswithpayloadremoved 请注意,跟踪已被匿名(IP和MAC被replace),所有带有有效载荷的TCP数据包已被删除。 问题的第一个实例始于分组129,第二实例分组382,然后是463,699,816,1120,1278,1323等 查看跟踪中最后一个实例,这是我们缩短了路由器上NAT后FIN / RST超时的地方。 你可以看到,前四次,ACK的AKC号码是2899295595.但是在第5号,ACK是3102149417.在第6号,它是4158039292.这是因为在这里,路由器被设置为超时的NAT所以这些尝试来自路由器上不同的全局端口。 如果问题与全局端口和以前使用全局端口的连接有关,则应该停止它。 但问题依然存在,这导致我们认为这不是源端口相关的,而是由TCP SYN本身产生的。 昨天,我们尝试将NAT后FIN / RST定时器设置为300秒,这些断开的连接就消失了。 我的猜测是我们把端口重用延迟到了ELB丢弃了以前连接的某个点。 我们想知道,如果ELB上的空闲超时设置为295秒,那么TCP_TIME_WAIT的值也是相同的,即使在FIN之后,连接也是有效的。 虽然如果是这样的话,我们应该看到更多的连接失败,因为路由器上的端口复用非常猖獗。 很高兴知道到底发生了什么。
我无法理解为什么解密在这里不起作用。 考虑这个pcap文件中的场景 – https://drive.google.com/open?id=0Bz5corUPBatBWWpXTFYwWjdfS0k 我有这样的networking设置 Internet Server (104.31.17.3)<———> (eth1) Gateway (192.168.151.19) (eth0) <———-> Client (192.168.151.15) 对于这个捕获的上下文,我使用filtertcp和!ssh,并且只对从帧#22到帧#98的帧感兴趣 解释这些框架之间发生的事情 – 帧22-30是TLS握手。 第31帧是GET请求。 这由防火墙规则放弃。 对于相同的GET请求,帧32-35是一些重传(见包的长度等) 第38-86帧是客户端计算机(进行GET请求的客户端计算机)和网关计算机进行交互。 (rsync + ssh通信 – 请参阅帧中的端口号22)第61帧只是GET请求的另一个重新传输。 为客户端的GET请求重新发送帧87。 帧86和87之间的时间差是0.9秒(在此期间更新了一些防火墙规则)。 第88帧是服务器响应并包含TLS应用程序数据的时间。 Wireshark无法解密我感兴趣的帧88。 解剖器代码被修改时,debugging文件不容易阅读。 (在其他用途所需的循环中使用ssl_debug_printf语句)。 请使用以下命令来读取debugging文件。 “-C参数打印grepstring后面的下一行# cat debug.txt | grep -C 10 "frame #88" 我不明白为什么Wireshark无法解密TLS应用程序数据包。 数据包属于同一个TCPstream,TCP端口号和SSL对话。 SSL状态与初始GET请求(由于防火墙规则而丢弃的请求 – 第31帧)相同。
编辑:没有错。 我是一个白痴。 以下设置是正确的。 我在窗口上设置了一个mongodb(3.4)的实例,像这样configuration: net: port: 27017 ssl: mode: preferSSL PEMKeyFile: C:\…\mongodb.pem CAFile: C:\…\mongodb.ca allowConnectionsWithoutCertificates: true 证书是为特定域和通配符子域颁发的CA签名证书。 然后,我可以使用具有以下连接string的简单C#程序从本地机器连接到数据库: mongodb://user:password@hostname?ssl=true 它工作正常。 客户端没有使用证书。 我已经摆弄了参数,它真的好像使用SSL连接: 如果我切换到mode:requireSSL并在连接string中设置ssl=false ,我无法连接,这是预期的 如果我连接到未包含在证书中的域,则The remote certificate is invalid according to the validation procedure.得到The remote certificate is invalid according to the validation procedure. ,这也是预料之中的 我在mongo日志中看到的唯一错误/警告是no SSL certificate provided by peer – 这是预期的; 客户端没有使用证书,这就是为什么我configuration了allowConnectionsWithoutCertificates: true 但是 […]
在CentOS 7上有TCP客户端,在Windows 2012 R2上有TCP侦听程序,我通过wireshark,sysinternals procmon和ss -bitmonz命令观察到,tcp客户端wscale是7(比例因子128),而tcp侦听器wscale是8(比例因子256 ): skmem:(r0,rb367360,t0,tb46080,f110,w49042,o0,bl0) ts sack cubic wscale:8,7 rto:251 rtt:50.27/20.789 ato:49 mss:1388 cwnd:10 ssthresh:8 send 2.2Mbps lastsnd:43 lastrcv:43 lastack:43 pacing_rate 4.4Mbps unacked:10 rcv_space:29200 基于上述情况,TCP通信似乎没有在客户端和服务器(监听者)之间进行调整/alignment,请研究并指出需要进行哪些调整以使客户端和服务器在窗口范围内达成一致 ,顺便说一句,如果我使用winscp传输数据,wscale是7,7(没有不匹配)。 目前,在这两个操作系统上的TCP纯粹是默认的,没有做任何调整,而且我倾向于调整CentOS 7,并将Windows 2012 R2作为默认设置,因为服务器接受来自80个客户端及其生产的连接。 请分享提供TCP调整的参考,其中客户端是CentOS 7,服务器是Windows 2012 R2。
我对networking很陌生,所以如果我问一些愚蠢的问题或者我的词汇量不好,请原谅我 我正在尝试从特定端口上的合作伙伴访问URL。 服务器有一个只接受允许的IP地址的防火墙 问题是,有时候它有效,有时候不行。 我用Wireshark检查问题是什么,在几次TCP重传之后,我们收到一个RST – ACK Wireshark错误 在要求我们的合作伙伴检查他们的服务器之前,我想确保问题不是由我们做错的事情引起的 可能是这个错误的原因是什么? 让我知道你是否需要更多的信息
我有一个Linode服务器,将不会返回到我平常的ISP的随机GET请求(但从来没有被卡住每次相同的一个)。 如果我切换ISP或使用Opera VPN ,一切运作良好。 Linode说,他们看起来都很好。 服务器的资源很好(这是一个开发服务器,目前只用于testing,非常轻的stream量和开销)。 他们说要检查我的ISP。 我的ISP说,他们都看起来不错,但他们会让工程师看看它。 正如我期待的那样,我们从ISP那里找不到任何答案,我试图find客观的证据来certificate我的诊断非常有限。 我掸掉了Wireshark ,开始诊断。 如果我使用ISP的问题,从浏览器的angular度来看,这有点杂乱无章。 有时一个页面加载正常,有时加载正常,但其他资产将无法加载(CSS,JS,JPEG等)。 有时,页面本身不会加载,并且无限期地保持“加载”,没有服务器响应。 诊断: 在Wireshark中 http.time > 1证实了这个问题没有太多的超时或者长的加载时间,更多的是请求加载或者不加载。 我的标题没有显示任何exception,例如: GET /theme/css/style.css HTTP/1.1 Host:site.com Accept:text/css,*/*;q=0.1 Accept-Language:en-ie Accept-Encoding:gzip, deflate Connection:keep-alive Pragma:no-cache User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit/603.1.30 (KHTML, like Gecko) Version/10.1 Safari/603.1.30 Referer:http%3a//site.com/section/ DNT:1 Cache-Control:no-cache 当我使用Wireshark进行捕捉时,浏览器中的请求停止时,我没有看到太多反馈。 不过,上次我尝试了一下,我得到了一个重复的请求: localhost server TCP 66 [TCP Retransmission] 61162 […]