我想tcpdump固件更新时,我的路由器所做的所有stream量。 所以我采用了HP ProCurve 1800-8G交换机和镜像端口7到端口8。 我已经连接: 互联网连接在端口6 路由器WAN端口在端口7 Linux主机在端口8上运行tcpdump 我想路由器在WAN接口上有一个DHCP客户端。 但是我没有看到任何活动。 连端口6和7都没有显示活动。 题 我是否必须在交换机中configuration更多的东西才能将其用作networking分stream器? 更新 也许这是电缆是问题? 路由器使用RJ11,那么RJ11引脚应该如何连接到RJ45引脚? 我现在使用的是来自应答机的端口6和端口7。 ____ | HP ProCurve 6|—————- Internet Uplink ————– (Internet) 1800-8G | : Switch | : <== (router-to-uplink path before tap) (as a tap) | : 7|—————- Router WAN port (downlink) — (local n/w) | 8|———— Linux Host (with […]
在wireshark打开了一个pcap文件的例子 第二列是时间。 有没有可能在这里看到绝对时间戳,而不是相对的?
有谁知道一个graphics工具来分析wireshark捕获? 就像可以通过ip和协议聚集stream量的东西一样,并显示在graphics上。 任何人都知道免费软件/开源工具? 谢谢
我有一个小时的PCAP文件,它在我们的testingnetworking上有大约60个单独的networking攻击在这里工作。 每次攻击都来自一个独特的IP地址,这个IP地址在一小时内并没有在别处使用 我想从这个文件中制作60个pcap,还包括背景stream量。 发生攻击时没有真正的模式(即第一分钟可能有6个,接下来的10分钟可能会有1个)。 我可以将它们分离成只捕获攻击的文件,但我真的有兴趣在那里有背景stream量。 为了澄清我需要这个的理由,我正在使用这些数据来试图训练一个基于机器学习的networking传感器。
我试图嗅探2个IP地址之间的networkingstream量。 一个是HTTP服务器,另一个是访问该站点的客户端。 我的目的是嗅探POST方法的表单数据。 我怎么做? 当我试图嗅探,只有具有我的电脑源码地址或build立了TCP连接的IP地址的数据包被嗅探到。这不是我真正想要的。 我的Comp:192.168.1.1受害者:192.168.1.2 Site:192.168.1.10 我在192.168.1.1上安装wireshark。 而且我想tp嗅探POST表单stream量由192.168.1.2发送到站点192.168.1.10 …. 你的回复将被高度重视..
我正在尝试通过传入的拨号连接来监视进入我的计算机的stream量。 我使用Wireshark与WinPCap 3.1(我从4.0回滚到3.1,因为我读了这是我的拨号连接没有列在捕获菜单中的原因)。 问题是Wireshark没有列出捕获菜单上的拨号连接。 它列出了所有其他接口,但不包括拨号接口。 有什么方法可以让Wireshark看到它?
我可以使用包含data.len> = XXX的显示filter来过滤数据包长度,但我真的很想使用捕获filter来提高效率…有没有办法做到这一点?
我想有一个HTTP POST请求方法CAPTUREfilter。 我知道很容易做到这一点显示filterhttp.request.method==POST但我需要tcpdump兼容。 我写了tcp dst port 80 and (tcp[13] = 0x18) 但这并不完美… tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354) 效果更好,但…包不被视为一个HTTP包,所以我不能做我的进一步显示filter… 有什么办法可以不显示frame,tcp,ip和http头信息,只有data-text-lines的字段值(POST的内容)? 或在tcpdump同样的事情,只有倾销张贴HTML表单内容?
当我打开Wireshark时,我可以看到除了我的机器发送的数据包。 它怎么可能? 例 8252 99.150192 somoeneip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 8253 99.151204 fe8s0::15s34:12c8:2f2132:d99221 ff02::c SSDP NOTIFY * HTTP/1.1 8075 96.624367 otherip 239.255.255.250 SSDP NOTIFY * HTTP/1.1 值被修改为隐私
我正在尝试通过查看数据包来debugging一些数据包,并且希望避免将所有SSH通信传送到服务器。 有没有办法忽略? 我试图做一些像tshark -f "port !22"但是在命令后停止监听。 [root@vpn ~]# tshark -f "port !22" tshark -f "port ls" Running as user "root" and group "root". This could be dangerous. Capturing on venet0 tshark: arptype 65535 not supported by libpcap – falling back to cooked socket. tshark: Invalid capture filter: "port ls"! That string isn't a valid capture […]