最近我有一个Web开发人员来找我,问他为什么在他的应用程序正在访问一个SQL数据库接收连接错误。 所以,我通过正常的故障排除步骤来隔离或重现问题。 我发现,如果我使用查询分析器连接到数据库,并让连接空闲5分钟,它将断开连接。 含义…我将不再能够在查询分析器中的对象浏览器中刷新我的表或任何其他对象/节点。 我将不得不右键单击实例并刷新它重新build立连接。 接下来我去了wireshark并在客户端pc的nic卡上进行了捕获。 如果连接空闲时间超过5分钟,那么它每5分钟就会收到一次TCP RST复位。 我也在SQL Server上运行了捕获,并注意到了TCP RST重置命令。 下面附加的是从客户端机器捕获。 如果有人可以请协助…那太好了。 我检查了所有设置在SQL Server 2000对另一台服务器,他们都似乎是相同的。 – 如果我连接到任何其他SQL Server 2000服务器不会发生问题。 如果连接到服务器本身的SQL,则不会发生问题…所以只能通过networking。 – 我咨询了networking团队,这是回应:在SQL Server和桌面之间没有防火墙或代理。 stream量如下:Desktop-> Access Switch-> Distro Switch-> Core Switch-> Datacenter Switch-> SQL Server交换机上没有configuration安全ACL 他们也说NAT没有打开。 与SQL Server企业pipe理器不会发生问题。 – 同时处理SQL Profiler,在RST期间没有看到任何exception情况 我在谷歌上search到了高分辨率和低分辨率的文章。 没有运气! 我的问题是: 什么可能导致这个? 错误的序列号? 设置在路由器或交换机上的networking团队可能看过? 在Windows中设置? SQL Server 2000中的设置,我已经看了? 更好的方法来利用Wireshark来find更多的答案? RST从底部大约10。 编号时间源目标协议信息 258 […]
我有一个SIP电话,从ntp服务器或星号服务器得到它的时间。 然而,数据包似乎从来没有得到答复 我把Wireshark的方式,并与协议ntp与我看到任何东西: No. Time Source Destination Protocol Info 986 31.590946 172.17.153.201 173.65.167.66 NTP NTP client Frame 986 (90 bytes on wire, 90 bytes captured) Ethernet II, Src: IntelCor_10:0e:8c (00:24:d7:10:0e:8c), Dst: Dell_f7:28:04 (00:18:8b:f7:28:04) Internet Protocol, Src: 172.17.153.201 (172.17.153.201), Dst: 173.65.167.66 (173.65.167.66) User Datagram Protocol, Src Port: 61200 (61200), Dst Port: ntp (123) Network Time Protocol […]
在解决MySQL问题的同时,我在commandlinefu上遇到了这个命令 : tshark -i any -T fields -R mysql.query -e mysql.query 我在实际使用它之前试图理解它。 查看手册页帮助我了解使用的选项。 MySQLfilter文档也很有帮助。 但是,我怎样才能真正看到filter的样子? 我假设所有的filter都保存在某个目录中。 这个假设是不正确的?
在Wireshark wiki中是一个过滤HTTP GET请求的例子: 捕获HTTP GET请求。 这将在TCP报头后面查找字节'G','E','T'和''(hex值为47,45,54和20)。 “tcp [12:1]&0xf0)>> 2”计算出TCP报头的长度。 从Jefferson Ogata通过tcpdump-workers邮件列表。 有了这个filter: port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420 不幸的是,这是行不通的。 如何正确的HTTP GET请求filter?
我只是跟踪一个非常零星的错误响应HTTP请求到一个embedded式设备的networking服务器上的特定资源。 所以我的计划是在夜间(甚至是周末)进行testing,用wireshark捕捉stream量,然后浏览转储文件以查找损坏的响应。 与“http.request.uri匹配”^ /资源/要/被testing“显示filter我得到所有想要的请求。 但是我需要对这些请求做出全部回应 – 我如何归档这个?
正常ICMP数据字段由一个非常标准的32字节的字母string组成。 abcdefghijklmnopqrstuvwabcdefghi 我用一个修改的数据字段使用WireShark捕获了一系列的ICMP回应请求,我不知道这意味着什么。 (下划线代表空格。) abcdefghijklmnopprstuvwxyzabcdefghi abcdefghijklmnoparstuvwxyzabcdefghi __abcdefghijklmnopsrstuvwxyzabcdefghi __abcdefghijklmnopsrstuvwxyzabcdefghi __abcdefghijklmnopwrstuvwxyzabcdefghi __abcdefghijklmnopdrstuvwxyzabcdefghi__ 注意: “q”字符的位置 “xyz”的join 在有效载荷之前和之后添加空格 当你水平看“q”的位置时,它会拼写“passwd”,这是一个Linux / Unix命令来更改用户密码。 有任何想法吗?
我正在开发一个充当多播主机的设备,并且希望在它响应IGMP查询时观察它。 我的Catalyst 3560G设置如下(完整configuration如下):端口0/1是一个TFTP服务器,允许被测设备启动。 端口0/3是被测设备。 端口0/14是我的PC运行wireshark和ostinato发送IGMP查询。 端口0/1和0/3一起位于一个VLAN中,而端口0/14正在监视端口0/3,并将入口发送到同一个VLAN。 这些是交换机上连接任何东西的唯一三个端口。 当我发送查询时,Wireshark捕获传出帧,没有别的。 我的设备在testing收到帧(我得到debugging输出)。 我希望SPAN会话会在端口0/3出口时向我发送IGMP查询的副本,并在端口0/3进入相应报告的副本,但是我没有看到这两者。 被测设备唯一的反应是端口0/3上的多播收到计数器,它在正确的时间(发送查询后的0-10秒)递增。 我究竟做错了什么? Current configuration : 2490 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname cs3560 ! boot-start-marker boot-end-marker ! enable secret 5 $1$WKu9$g6YTo5sW/vvVmpbVmgTye0 ! no aaa new-model system mtu routing 1500 […]
几个月来,我们一直在各种机器上遭受DDoS攻击。 数据中心要么空路由,要么为我们build立一个ACL。 然而,我注意到有一个工具是为了将游戏服务器作为目标而devise的,它实际上将其他游戏服务器(使用软件中的漏洞利用)转变成僵尸,这本质上是一个巨大的僵尸networking。 因为我坚信单个端口正被用来发送这些攻击,所以我想在请求数据中心在我们的机器上完全阻止入站stream量的端口之前对其进行validation。 我已经使用了Wireshark几次,但是从阅读中我很难搞清楚如何做到这一点。 1)如何设置一个数据包捕获,logging所有传入的networking活动,但将其拆分为1GB左右的文件。 现在我们似乎每天晚上都会受到打击,所以我可以在高峰时间离开这里。 2)持续的Capture运行会不会对networkingstream量产生不利影响?
我试图解码在非标准端口上发送的BACnetstream量。 看起来我应该可以点击“解码为”并selectBACnet或BACapp,但是它们不会出现在select列表中。 我错过了什么?
我遇到的问题是,当我尝试以编程方式上传文件时,我收到来自FTP服务器的“500 Illegal PORT命令”响应。 这个程序是一个小型的c#应用程序,连接到一个FTP站点,并将文件复制到默认目录。 这个程序已经生产了好几年了,我相信代码本身工作得很好。 我也通过使用相同的应用程序连接到我自己的FTP站点来testing应用程序,它的工作原理。 被动模式似乎不是一个选项。 当试图连接到我们的合作伙伴的FTP站点时,程序按预期运行,直到执行FTP put命令。 我注意到在运行Wireshark时,我的请求的源IP与PORT命令发送的IP地址不同。 我已经上传了一个捕获的图像(所有的敏感信息已被删除,使用我的惊人的 Photoshop技能): 。 我已经联系了FTP站点的所有者,我们正在尝试传输这些文件,并且已经为我们的新静态IP地址打开了他们的防火墙。 我可以使用两个LAN IP上的机器使用FTP客户端连接到他们的站点,但是这些PORT命令总是使用与请求源相同的LAN IP发送。 我也尝试从程序驻留的服务器使用ftp.exe,并且成功(但是PORT命令使用与源相同的IP)。 所以我想最大的问题是如何控制PORT命令使用的IP地址? 或者,如果我无法控制,那么ftp程序确定的IP地址和端口号是多less?