自从星期一上午以来,我看到networking上的stream量持续高峰,我不知道它是从哪里来的! 我没有netflow路由器(就像我想),我有IPCop防火墙。 有什么办法可以embedded到Linux中,我可以看到数据包来自哪里? 像内置的数据包捕获? 如果没有,我怎么去find这个stream量来自哪里?
我正在寻找WireShark捕获filter的语法,通过捕获多个(特定)IP地址上的stream量。 我知道如何捕捉范围和个人IP地址。 但是,我所捕获的应用程序是分布在一个IP地址/服务器的“桶”中,其他应用程序基于相同的范围。 看我的例子: 电子商务应用服务器:192.168.1.2,192.168.1.3,192.168.1.4。 – 这是我想捕获(在这些确切的IPs过滤)我已经尝试“主机192.168.1.2主机192.168.1.3”等 此范围内还有其他应用程序,例如PayRoll App在192.168.1.5上,我不想在我的捕获中看到这些。 因此,捕捉整个范围的'网192.168.1.0/24'将不适合我。 任何人都可以提供我的语法? 这甚至有可能吗?
我是新来的Ipsec隧道。 我已经使用供应商的预共享密钥成功创build了一个到思科非现场路由器的隧道。 在端点1:我有服务器IP地址和远程服务器IP地址,我打算连接到。 在端点2:我有与上面相同的IP地址 在ipsec隧道端点我列出了服务器的IP地址和端点2我列出了Cisco路由器。 隧道出现。 (在监视和主模式和快速模式下可见)除供应商确认可以看到我们的连接外。 但是,当我们尝试连接到其networking中的其中一个服务器(在上面的端点1和2中列出)时,它不会连接。 供应商声称,他们有其他客户以这种方式连接,而不是在他们身边的问题。 我试图追踪wireshark的stream量,但wireshark只能看到stream量,如果我禁用Ipsec隧道。 编辑:当我尝试远程login到tunnelendpoint后面的服务器时,我可以看到tunnelendpoint的stream量。 但telnet会话超时之前build立。 有任何想法吗?
有没有人能够使用VMWare的thinstall虚拟化Wireshark和PCAP,而不需要在主操作系统上安装PCAP?
我想有一个类似tcpdump的程序,显示哪个程序发送了一个特定的数据包,而不是只是获取端口号。 这是一个通用的问题,我曾经有过和有时,当你有一个旧的tcpdump文件躺在你身边没有办法find什么程序发送的数据.. 我怎样才能确定哪个进程是在Linux上的UDPstream量的解决scheme? 是一个迹象表明,我可以用auditd,dTrace,OProfile或SystemTap解决这个问题,但是并没有说明如何去做。 即它不显示程序的源端口调用bind().. 我遇到的问题是很奇怪的UDP数据包,由于这些端口是如此短暂,我花了一段时间才解决这个问题。 我通过运行一个类似于下面的丑陋的黑客来解决这个问题 while true; date +%s.%N;netstat -panut;done 所以要么是比这个更好的方法,replacetcpdump,要么从内核获取这个信息,所以我可以修补tcpdump。 用auditd解决这个问题 sudo auditctl -a exit,always -F arch=b64 -S bind -k BIND 这个填充/var/log/audit/audit.log的行如下: type=SYSCALL msg=audit(1292929028.845:3377): arch=c000003e syscall=49 success=yes exit=0 a0=3 a1=808710 a2=10 a3=7fffab28ea10 items=0 ppid=1564 pid=24442 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=4294967295 comm="nc" exe="/bin/nc.openbsd" key="BIND" type=SOCKADDR msg=audit(1292929028.845:3377): saddr=0200FFFF000000000000000000000000 […]
我是Wireshark的新手,对于捕捉界面这个术语我有点困惑。 我看到一个约9到10个所谓接口的列表。 他们是什么? 我的意思是,我只有一个以太网接口卡和一个无线网卡,每个接口卡提供一个接口,这使得两个接口(?),不是吗? 但是Wireshark怎么告诉我有9个接口呢?
我有一个简单的问题: 除了第3层的协议外,还有什么方法可以避免协议的parsing? 例如,在列协议中,而不是显示http,我希望它显示TCP或它的值(6)。 我可以在菜单分析/启用协议中看到我们可以逐个禁用,但是对于像“eDonkey”,“QUAKE”等大量不同协议的非常大的跟踪,这花费了很多时间…
我想弄清楚我的networking服务器上的TCP重置发生在哪里。 我有以下的捕获: tcpdump -fnni bond0:-nnvvS -w dump.pcap 'tcp[tcpflags] & (tcp-rst) !=0' 当我看着wireshark中的pcap显示我重置: Flags: 0x004 (RST) …. …. .1.. = Reset: Set …. …. ..0. = Syn: Not set …. …. …0 = Fin: Not set Window size value: 0 Calculated window size: 0 Window size scaling factor: -1 (unknown) Checksum: 0x0f2f [validation disabled] Good Checksum: […]
我从traceroute得到这个输出: #traceroute -i eth1 -s 192.168.12.14 192.168.1.72 1 192.168.12.1 (192.168.12.1) 1.410 ms 2.076 ms 2.251 ms 2 * * * 3 * * * etc.. 但在另一个terminal中,我可以看到从目标主机到达的正确答复(Port Unreachable): 9.964867 192.168.1.72 -> 192.168.12.14 ICMP 102 Destination unreachable (Port unreachable) 9.964879 192.168.1.72 -> 192.168.12.14 ICMP 102 Destination unreachable (Port unreachable) 9.964886 192.168.1.72 -> 192.168.12.14 ICMP 102 Destination unreachable […]
我们的2008服务器在2周内开始非常缓慢地工作。 我们的网站(iis 7.5)的加载非常缓慢,有时甚至被冻结。 我们开始使用wireshark进行testing,发现数据包在传输过程中丢失。 客户端多次请求相同的数据包,请查看下面的内容。 (客户端): 11 3.492500客户端服务器TCP 54 61220> http [ACK] Seq = 316 Ack = 5521 Win = 66240 Len = 0 (服务器): 12 3.495204服务器客户端TCP 1434 [TCP上一个段丢失] PDU] (客户端): 13 3.495225客户端服务器TCP 66 [TCP双重ACK 11#1] 61220> http [ACK] Seq = 316 Ack = 5521 Win = 66240 Len = 0 SLE = 6901 SRE […]