我已经把下面的显示filter: tcp.dstport=8127 但是显示不正确(红色背景): 我究竟做错了什么?
我们有一个VOIP(SIP?)电话系统,并且必须logging公司中特定电话的所有呼叫。 今后可能需要听取这些电话进行审计。 这些手机现在都在同一个房间里。 我们一直在使用digilogger设备,基本上点击手机的模拟部分(我相信手机的audio)。 这个工作,但有倾向下降,所以我正在寻找一个更好,更可靠的解决scheme。 我一直在想这些手机产生的networkingstream量,我可以捕获stream量,以便以后分析。 例如,我已经可以运行WireShark,将stream量捕获到一个文件,并使用VOIPfunction查看来电者的身份,甚至可以听到通话audio。 这是完美的,但我想知道是否有一个更好的设置,或者如果这是有道理的,我正在寻找WireShark的推荐设置为此目的 – 例如,如何直接捕获到文件无限期。 我知道我需要过滤掉所有非voipstream量。 此外,我可能需要一种方法来旋转捕捉文件,以便一次节省一周或一天,然后在可能的情况下转到新文件。 你怎么看?
wireshark可以跟踪来自本地浏览器的stream量到本地的.net应用程序,我有一个HttpListener? (例如本地到本地) 我似乎无法用wireshark检测这个stream量。 有没有办法做到这一点? 谢谢
我遇到了一些严重的问题,我希望你能帮助我。 我们有一个拥有约50台客户端的办公室networking和一台运行Windows Server 2008 R2 Standard(SP1)的主文件服务器。 对于一个特定的客户端(Windows 7 SP1)来说,访问networking共享的速度有时会变得很慢,而这只能通过重新启动计算机来解决。 现在的问题是,我们已经切断了实际的电脑,问题依然存在。 新电脑的制造和型号是一样的,但是我们有一些在办公室的人,他们没有遇到这个问题。 还试图更换所有相关的网线,以及使用交换机上的不同端口。 我也尝试login作为一个不同的AD用户无济于事。 我已经在客户端计算机上运行WireShark以及我自己的比较,SMB数据包在受影响的计算机上速度慢了10-1000倍,但是只有在被发送到文件服务器的时候。 所有发送到服务器的SMB数据包(从我的testing计算机以及受影响的计算机)都有一个错误的头校验和,如果这很重要的话。 这不是我的主要专业领域,所以我很难分析WireShark日志,除非将其与另一个日志进行比较,并查看数据包之间所经历时间的差异。 基本上我不知道在哪里寻找一个问题的原因,只是效果。 以下是两台计算机的每个字节的统计数据,用于一些基本的导航,并从networking磁盘复制一个小(〜100kb)的文件到桌面。 通过FTP做同样的事情会得到两台计算机的正常结果。 PCAP文件在这里 (小)和在这里 (大)。 请注意,pcap-2.zip中的两个转储来自同一台计算机,但其中一个是正常运行,另一个是经历减速(相隔数分钟的转储)。
我正在Intel X520-DA2网卡上运行一组两个10 GigE端口。 他们协同工作,并达到理想的吞吐量。 不过,我发现一个间歇性的问题,WireShark和我自己的应用程序(使用WinPCap)只显示底层端口,无法识别团队适配器。 详细信息:Windows Server 2008 R2上带有所有修补程序的英特尔17.4 NIC驱动程序。 HP DL370 G6服务器。 在英特尔下面的英特尔网卡上启用RSS。 确切的错误:无法打开适配器(rpcap:// \ Device \ NPF_ {401D5903-16E7-41DC-8484-5D96765B9692})。 未能将硬件filter设置为混杂模式 在WireShark网站上交叉发布。
我最近购买了一台Netgear GS108Tpipe理型交换机,我试图在我的NAS(Thecus N4100Pro),个人电脑和网pipe交换机之间configuration巨大的数据包。 我应该提到,在购买交换机之前,我能够在我的PC和NAS之间使用巨型帧。 我的桌面有一个有线千兆网卡(Intel 82579V千兆位),并且能够configuration9014字节或4088字节的巨型帧(见图)。 我为巨型帧大小select9014个字节 nic1 http://s10.postimage.org/qnvn3qz8p/NIC1.jpg 我的NAS也支持巨型帧,并configuration为使用9014作为帧大小。 当我进入我的Netgear网pipe交换机,并在我用于PC和NAS的端口上设置帧大小为9014。 看图片 Switch1 http://s9.postimage.org/91vb6sivz/Switch1.jpg 一旦我在networking界面中打开应用程序,就会失去与NAS上的SMB共享的连接,并且无法再连接到NAS的Webpipe理界面。 真奇怪的是我可以通过ping命令来ping我的NAS,但是当我尝试连接到端口80或端口443的Web界面时,页面从不加载。 我使用nmap从我的电脑扫描到我的NAS,我可以看到以下端口打开 PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 111/tcp open rpcbind 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 631/tcp open ipp 2000/tcp open cisco-sccp 2049/tcp open nfs 3260/tcp open iscsi 49152/tcp open unknown MAC Address: […]
平台: – Fedora 13 32位机器 RemoteMachine $ ./rpcapd -n ClientMachine $ tshark -w“filename”-i“任何接口名称” 一旦捕获开始,没有任何捕获filter,数以千计的数据包被捕获。 Rpcapd默认绑定到2002端口,在build立连接时,它会随机select一个端口号给客户端进行进一步的通信。 客户机和服务器机器通过随机select的端口交换TCP数据包。 所以,我甚至不能指定捕获filter来阻止与rpcap相关的tcpstream量。 Windows的Wireshark&tshark有一个选项“不要捕捉自己的Rpcapstream量”在编辑界面对话框中的远程设置。 但是在linux下tshark没有这个选项。 如果有人能告诉我wireshark如何阻止rpcapstream量,那么也会更好。
我有一个来自我的networking服务器的一些HTTPSstream量的PCAP格式。 所以我可以使用我的web服务器上的密钥解密wireshark中的stream量。 我现在面临的问题是,我无法从wireshark获得未encryption的pcap文件。 我想在tcpreplay上使用未encryption的pcap文件来重放跟踪以进行监视。 如何创buildpcap文件与来自我的其他PCAP文件解密的HTTPSstream量?
我有一个PCAP文件,其中包含SSLencryption的HTTPstream量和来自相关Web服务器的私钥。 我想要一个PCAP文件,其中包含解密的HTTPstream量喂养到一个不同的工具。 我已经能够得到tshark解密和显示HTTP协议; 但是,当我将结果输出到数据包转储文件时,该文件仍包含SSLencryption通信。 我可以使用tshark来重build和写入一个带有解密stream量的PCAP吗? 我目前使用下面的命令: ./tshark \ -o ssl.desegment_ssl_records:TRUE \ -o ssl.desegment_ssl_application_data:TRUE \ -o ssl.keys_list:"127.0.0.1","443","http","../snakeoil/rsasnakeoil2.key" \ -V -2 -R http \ -r ../snakeoil/rsasnakeoil2.cap \ -w out.pca
在创build数据包性能监视器时,我遇到了以下问题:如果我ping一台服务器,则会获得大约4ms。 如果我计算一个POST和第一个ACK之间的时间,那么我得到大约25us(微秒)。 这里是两种情况下的Wireshark数据: * REF * 172.26.45.212 10.160.86.12 ICMP 74回声(平)请求 0.003988000 10.160.86.12 172.26.45.121 ICMP 74回应(ping)回复 * REF * 172.26.45.212 10.160.86.12 HTTP 606 POST / form / etc … 0.000025000 10.160.86.12 172.26.45.121 TCP 60 80> 6704 [ACK] Seq … 有谁知道为什么区别? 这两种方法都应该给我的networking往返时间。 提前致谢。