下面的iptables规则用于redirect从本地主机(接口为lo,IP为127.0.0.1)从eth1进入端口3000的所有Internetstream量: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT –to-destination 127.0.0.1:3000 然后tcpdump被设置为在lo接口上logging所有stream量: tcpdump -i lo -w output.dump 但是,在通过eth1发送了一些互联网stream量(端口80)之后,这个stream量不会被tcpdumplogging下来。 我不知道为什么这样。 有人可以摆脱一些光? 谢谢。
我正在使用OpenFlow数据包,并通过tcpdump分析networking。 目前,我使用WireShark GUI来parsing生成的捕获文件,它符合我的需要。 然而,我想知道WireShark是否有一个API,所以可以通过一个脚本而不是GUI来完成相同的操作(我本质上是要提取某些OpenFlow参数并自动执行检查我的系统的过程)
当我需要select一个新的端口使用(在一个组织内部)我曾经在/ etc / services中查找。 这已经不够了,因为Wireshark知道许多其他不在/ etc / services中的端口,因此会错误标记stream量。 我想获得Wireshark知道的所有(TCP和UDP)端口列表,以便我可以使用不同的端口。 我在哪里可以find(或者如何生成)这个列表? 更新,写了一个脚本: #!/usr/bin/env python import urllib2 response = urllib2.urlopen('http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.txt') text = response.read() for line in text.splitlines(): words = line.split() if len(words) < 2: continue if words[1] != 'Unassigned': continue print words[0]
我们正在使用连接到build筑物主networking的交换机(ZIO-SW500),我们遭受间歇性networking中断。 通常情况下,networking运行良好。 但是,有时指定给其他IP的stream量会泛滥,我们的networking暂停一段时间(1〜3分钟)。 数据包被WireShark捕获,大量的数据包被发现到某些IP地址。 (这些IP没有连接到我们的交换机)大部分的数据包属于TCP协议,我们认为这个stream量本身是正常的。 看起来我们的交换机随机无法阻止这些数据包。 我们的networkingpipe理员试图帮助我们,但是由于networking故障只发生在1〜3分钟,每天大约10次,他找不到问题的原因。 目前我们正在考虑改变交换机(虽然这个交换机是由于同样的问题而replace了之前的交换机),但是假设我们的交换机已经达到了最大的交换容量并且放弃了工作。
我正在使用WireShark 1.12,我试图通过不一致的方式来过滤SYN,SYN / ACK,ACK。 谁会知道如何编写这个版本的filter? 目前 我正在使用这个:tcp.ack&tcp.seq&tcp.len 我能够看到序列号的下降,但我必须手动进行大量的parsing。 先进的谢谢你
在运行Windows Server 2012上的Apache 2.2的客户服务器上,我们注意到有时对服务器的某些请求永远无法完成。 使用wireshark我发现,一旦重新开始应答请求,一批重复的ACK就会发送到服务器,并在几秒钟后从服务器收到几个重新传输。 networking设置对于服务器和一些使用UTP电缆连接到交换机的客户端来说是非常基本的。 我真的不知道该怎么做。 我正在考虑让他们尝试不同的布线,交换机和/或网卡,但是我想就此发表意见。 1 0.000000000 192.168.1.103 -> 192.168.2.100 TCP 66 52011?81 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 2 0.000742000 192.168.2.100 -> 192.168.1.103 TCP 66 81?52011 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 3 0.000782000 192.168.1.103 -> 192.168.2.100 TCP 54 52011?81 [ACK] Seq=1 Ack=1 Win=65536 Len=0 4 0.001646000 […]
我需要整夜运行Wireshark来捕获某个IP地址的数据包。 我注意到Wireshark运行时间越长,它占用的内存就越多,因为它存储了运行期间发现的所有数据包。 有三种可能的解决scheme,但我在网上找不到任何答案: 将Wiresharkconfiguration为仅将通过filter出现的数据包(不是所有数据包)保存在RAM中。 我不确定这是否可能。 将Wiresharkconfiguration为每小时自动将数据包保存到文件,并在存储到文件后释放其内存。 使用Wireshark的替代方法来运行一段时间。
我在OSX上使用Wireshark,试图通过WiFi来嗅探我的家庭networking。 虽然我可以看到发送到/来自主机的数据包,但是我没有看到其他任何通过WiFi的信息。 这就像我不是在混杂模式或什么(混杂模式框实际上是检查)。 路由器是由WPA2保护的Apple Airport Extreme。 我附加到networking上,我试图嗅,所以我很困惑,为什么我不能看到其他stream量。 编辑 :我解决了以下问题: 将Macbook直接插入Airport Extreme路由器 在Macbook上启用“互联网共享”,无需密码。 将无线设备(我想嗅探的设备)绑定到步骤2中由Internet共享生成的WiFi热点。 在Macbook上运行Wireshark,绑定到设备en1。 不要忘记在完成后禁用共享。 🙂
我最近在Win 7主机上安装了Wireshark,但是现在它不会让我启动NPF服务。 我得到: C:\Windows\system32>net start npf System error 5 has occurred. Access is denied. 这很奇怪,因为我在本地pipe理员组中,并且'npf'服务的SDDLstring显示允许RP和WP权限到内置pipe理员组。 C:\Windows\system32>net localgroup Aliases for \\DOC ——————————————————————————- *Administrators *Backup Operators *Cryptographic Operators *Distributed COM Users *Event Log Readers *Guests *IIS_IUSRS *Network Configuration Operators *Offer Remote Assistance Helpers *Performance Log Users *Performance Monitor Users *Power Users *Remote Desktop Users *Replicator *Users The […]
我用WireShark在监视模式下捕获无线stream量。 我只想捕获某个BSS的stream量。 虽然wlan.bssid == xx:xx:xx:xx:xx:xx可以很好地用作显示filter,但我不希望我的数据混乱无用的stream量,我不感兴趣(空气相当混乱渠道)。 所以这里的问题是: 是否有一些特别有用的无线捕获捕获filter? 捕获stream量到达或来自AP的最佳方式是什么?