我的子网是10.162.0.0/16。 我们有一个有几个接口的路由器。 我的子网的网关是10.162.0.1 。 路由器位于另一个build筑物,我没有直接访问它。 从路由器线到我的主要二层交换机D-Link DES-3550(10.162.0.250)和其他部分的子网连接到此交换机。 networking在短时间内运行良好(5-20分钟),然后开始“ 攻击 ”,并循环重复。 如何“ 攻击 ”看起来: 通过Wireshark我可以看到路由器(10.162.0.1)不间断的ARP请求从我的子网,如一个或几个地址 10.162.0.1广播ARP 60谁有10.162.8.75? 告诉10.162.0.1 但是,当我尝试ping地址,为哪个路由器请求ARP,他们不回答,所以他们不在线,或者我们甚至没有这样的地址。 我已经把我的计算机中的一个地址分配给了ARPed。 我的机器应答ARP并发送我的Mac。 但是路由器并不关心,并继续发送ARP。 路由器每秒发送大约10.000 – 25.000个ARP。 所以甚至不可能从我的子网中的任何一台计算机ping到10.162.0.1。 有时候,我的主交换机(10.162.0.250)不能ping或延迟约3秒。 当我重新启动交换机(10.162.0.250)或断开它的一些端口时(在大多数情况下断开10和11端口的帮助,所以可能发生某些事情),攻击停止。 当下一个攻击开始时,ARP请求已经是其他的了。 它似乎随机select地址到ARP。 为什么路由器可以发送ARP? 它可以从其他子网攻击路由器comuper? 如果源是从我们的子网的计算机,那么为什么路由器发送ARP(不能理解这个)? 我该如何解决呢? 谢谢。
如何在两台路由器之间的Wireshark中捕获OSPFstream量? 我正在做这样的事情: [RTR A] – – – [LAPTOP] – – – [RTR B]
在通过Wireshark查看LDAPstream量时,我很想了解Windows客户端和Active Directory之间的对话。 每个对话将会变化到小于80k字节。 但有时会有2.5-3MB的对话。 有人可以解释从Windows客户端被要求的广告查询的types,也许正在交换的数据包大小不同吗? 我有数据包捕获的有效载荷数据,但不知道如何读取它。 有一种方法我知道启动对话,这是“gpupdate / force”命令。 我也想知道窗口内的其他内部处理是如何启动查询的?
好吧,这可能看起来微不足道,但由于我的应用程序所需的testing性质,我需要得到精确的时间戳。 我正在使用WireShark来分析数据包。 假设我有两台主机h1和h2的networking。 h1和h2分别通过接口h1-eth0和h2-eth0相连。 当我在主机h1上运行Wireshark来捕获接口h1-eth0时,我可以绝对确定所logging的时间戳对应于主机h1的系统时间吗? 虽然这应该是这样,除了你有用的评论,如果我能得到一个相同的链接(这只是我可以正式化我的应用程序)真的会有所帮助。 [CONCLUDING REMARKS]:tcpdump的时间戳模块的联机帮助页。 PCAP-TSTAMP 。 注意:该手册页由Guy Harris自己撰写。 🙂 引用: 当捕获stream量时,每个数据包都有一个时间戳,代表数据包的到达时间,对于传出数据包,表示数据包的传输时间。 这一次是到达或传输时间的近似值。
我试图过滤掉我的本地机器的IP地址192.168.5.22 。 我用ip.src != 192.168.5.22|| ip.dst !=192.168.5.22 ip.src != 192.168.5.22|| ip.dst !=192.168.5.22 ,我一直看到我的地址popup。
我在Windows上运行,并试图让Wireshark拿起我的networkingstream量。 除了我在本地系统上运行的客户端/服务器之外,它可以很好地提供所有出站和入站通信。 实际上,即使我通过LAN IP发送数据包,它仍然没有收到stream量。 Windows有可能是一些聪明/愚蠢的行为,所以它不能通过networking传播? 有什么我可以做的强制数据包蜿蜒沿着预期的path(即走出我的路由器,回来,让Wireshark可以看到它)? 我想要的是确保发送到192.168.xx的数据包不会被redirect到127.0.01,Wireshark无法嗅探数据包。 我怀疑Windows正在检测到我正在连接到同一台计算机,并且正在通过跳过networking来“聪明” – 我需要停止这样做。
谁能告诉我WireShark中的“Length”列是指什么? 我很确定这是线路上整个框架的“大小”。 我做了一些计算,但没有得到WireShark报告的数字。 有谁知道“长度”包括什么? 我读过的地方是前导码(7个八位字节),帧定界符(1个八位字节)和FCS(4个八位字节)的开始通常不被捕获,但这是否意味着WireShark仍然添加这些数字以进行“长度”计算?
我只是在Windows机器上安装wireshark,当我运行捕获,我看到交通,但不是全部。 我被VNC放进了盒子里,看不到VNCstream量,如果我从箱子里看到什么东西,我可以看到它。 常见吗? 它说“Broadcom L2 NDIS客户端驱动程序”。
我有一个简单的CGI脚本,输出简单的文本内容。 它是用Perl编写的,使用CGI模块,它只指定最基本的标题: print $q->header( -type => 'text/plain', -Content_length => $length, ); print $stuff; function没有明显的问题 – 用户代理和服务器都没有抱怨,但是我对Wireshark不能识别HTTP响应的事实感到困惑 – 它被标记为TCP。 这里是请求和响应,如“Follow TCP Stream”对话框所示: GET /cgi-bin/memfile/memfile.pl?mbytes=1 HTTP/1.1 Host: 10.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:11.0) Gecko/20100101 Firefox/11.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: cs,en-us;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Connection: keep-alive HTTP/1.1 200 OK Date: Thu, 05 Apr 2012 18:52:23 GMT Server: […]
我在监控机器上安装wireshark来监控我们的办公室互联网stream量(约40台机器)。 但是,每当我在约30-40秒内启动wireshark时,它已经崩溃 – 我认为由于大量的数据包被接收大约每秒10,000+。 有没有解决这个问题? 我试图使用屏幕顶部附近的filter选项,但我仍然必须启用监视,并在那个时候太多的数据传递给计算机来应付…我想!