我已经捕获了Wireshark的stream量,我想跟随stream量中传输的大部分字节的TCPstream。 打开统计信息>对话并按字节sorting后,我将筛选两个stream量最大的主机(A < – > B)的stream量。 现在我面前有一万个数据包,我想跟随大多数字节的TCPstream。 我尝试过随机挑选不同的数据包,但只是得到了几条较小的数据stream。
我有一个包含很多数据包的PCAP文件。 但是,它们是基于时间戳(实际上是随机的)。 根据时间戳有效sortingPCAP数据包以便以后重放,最好的方法是什么? 目前我正在通过Scapy和Python来完成这个任务 。 这工作,但真的很慢。 此外,它将转储完全加载到内存中,其中时间戳实际上是足够的。 我知道sorting是一个昂贵的操作,但这种方法需要近4分钟的时间,在一个现代的Core i7包含778589数据包的344MB文件。 我也知道Wireshark应该包含“reordercap” ,但是这个工具不包括在当前的Debian和Ubuntu版本中。 在尝试从源代码构buildWireshark之前,也许有人对这个工具有经验,并可以build议性能如何。 所以,回到问题:如何有效地对PCAP文件中的数据包进行时间戳分类? 内存不是限制,因为PCAP不会超过2GB,并且有足够的内存,但是运行时对我来说很重要。 它应该尽快完成。 先谢谢你!
我有通过交换机端口镜像和tcpdump捕获的TCP会话。 查看时(在Wireshark中),当我发送消息时,我会看到相同的模式。 这里是出站数据包的摘录(我没有捕获入站的数据…): [PSH, ACK] Seq=34477 Ack=46645 Len=51 # sending first message [ACK] Seq=34528 Ack=46714 Len=0 # acknowledge response (not shown) [ACK] Seq=34528 Ack=46714 Len=0 SLE=46645 SRE=46714 # TCP Dup Ack! [PSH, ACK] Seq=34528 Ack=46714 Len=51 # sending second message [ACK] Seq=34579 Ack=46783 Len=0 # acknowledge response (not shown) [ACK] Seq=34579 Ack=46783 Len=0 SLE=46714 SRE=46783 […]
我使用wireshark在我的本地networking(testing它),我注意到有很多udp数据包发送一个广播,而大多数来自只有一个主机。 这些udp数据包在端口25860上广播发送。 把所有这些包发送到同一个端口,并总是有相同的数据,我认为它可能是一个已知的数据包(如DNS请求可能是类似的东西)。 那么,有人可以告诉我这些包(如果有的话)的目的是什么?
我正在使用tcpdump来监视openvpn链接tcpdump -i tun5 -w capture.dump -W 100-C 100M -s 0 -n有一个http / xmlstream量通过链接,基本上被封装得很好。 但是,一些软件包包含我不希望的字节。 看到这个例子: No. Time Source Destination Protocol Length Info 15 0.021249 10.150.1.7 10.150.9.6 TCP 1355 8180 → 53327 [ACK] Seq=32056 Ack=1 Win=513 Len=1315 Frame 15: 1355 bytes on wire (10840 bits), 1355 bytes captured (10840 bits) Raw packet data Internet Protocol Version […]
前言 : 我有一个应用程序,我正在testing,在RHEL 6上运行。 我testing的设置是安装在embedded式设备上的应用程序,通过以太网电缆连接到与运行Linux的PC上的虚拟机进行通信的PC。 PC和embedded式设备上的虚拟机(在VMWare Workstation上)都有一个静态IP地址,因为它们需要通过以太网电缆相互通信。 在这种情况下,应用程序需要使用pub-sub工具进行通信RTI DDS 。 这已经在一个无线环境和另一个有线环境中用不同的PC而被testing过,但是在同一个虚拟机上,并且在pub-sub的这两个环境中都已经工作了。 问题: 在当前设置下testingpub-sub时,通过wireshark可以看到从embedded式设备传送的所有碎片数据包被传送到PC的主操作系统(在这种情况下是windows)。 但是,当分片数据包从主操作系统发送到虚拟机操作系统时,虚拟机只接收在wireshark看到的最后一个数据包,其余数据被丢弃。 到目前为止,我们已经试图禁用firewalls和pinging设备,这些设备都能正常工作,没有问题。 因此,我们不知道为什么数据包被丢弃。 有什么方法可以debuggingnetworking数据包被丢弃的方式和原因,甚至可能通过wireshark,因为我们正在使用该工具?
有没有人知道一个工具来打开一个数据包捕获保存为.bin文件? 那或如何将其转换为PCAP或什么wireshark可以打开。 我从瘦客户端抓取数据包,当我下载它的.bin文件types。 我一直无法找出谁来打开它来查看它。
我正在尝试使用wireshark在数据包捕获中解码ssl数据包。 当TLS握手期间服务器select的密码是TLS_RSA_WITH_AES_256_CBC_SHA256时,我能够成功解码带有服务器密钥的数据包。我只是在edit-> preferences-> Protocols-中提到服务器IP /端口/协议(http)/server.key。 > SSL。 但是,当使用的密码是TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256时,它不工作我正在使用Wireshark版本2.0.2。 有没有其他解码方式?
我们正在testing环境中工作,需要监视使用tshark捕获的rtpstream的audio质量。 现在我们可以捕捉audio并通过wireshark访问文件,但我们希望find一种方法将audio通过命令行保存为.wav文件(或类似文件)。 有谁知道一个可以做到这一点的工具?
http://farm4.static.flickr.com/3305/4588110530_a60c934289_o.png 这张图是munin收集netstat -s输出。 我想确定连接来自哪里。 wireshark转储没有什么明显的。 我已经用iptables做了很多事情,这已经有一段时间了。 我怎么去logging这些? 谢谢 -s