我在Windows上使用wireshark捕获我的stream量。 有没有办法来捕获连接到同一局域网的其他计算机的stream量。 如果wireshark不可能的话,还有其他工具可以做到这一点。
我想捕捉路由器的stream量,所以我假设必须有一个有3个RJ45袜子的电缆或硬件盒,其中两个是IN和OUT,第三个是捕获设备(在我的情况下是Linux主机)。 这种电缆/盒子叫什么?
我在我们的Windows 2003域中有一个打印服务器,上面有很多打印队列。 我们看到来自这台服务器的大量SNMP扫描,我们认为这是不必要的。 与打印服务器本身相关的一切都运行良好,但networking团队希望扫描停止。 我们可以看到在交换机上发生的扫描。 我已经安装了Wireshark,并可以看到扫描发生。 我可以看到程序正在通过像CurrPorts这样的东西来监听连接。 这个服务器多年来有过几个维护者。 有残余的司机和不需要在那里的东西。 不幸的是,我不能做任何过于激烈的事情来清理或干净的安装服务器,因为它是我们的networking依赖的主要打印服务器。 我们计划在未来一两年内更换它。 所以我的问题是… 如何确定Windows 2003服务器上的哪个程序/进程正在生成SNMP扫描?
在wireshark中,捕获一些arp数据包后,目标字段中所有1的意义是什么。 以太网II帧?
我们在IIS7服务器上托pipe一堆ASP.NET网站。 偶尔,我们希望能够loggingHTTP POST数据来解决问题。 IIS让我们logging查询string,但不是POST数据 – 至less,我们还没有find办法。 你认为在生产服务器上使用Wireshark(或Netmon或其他嗅探器)是安全的吗? 我的直觉是“不”,但我想听听其他人的想法。 最好使用端口镜像,并在同一个交换机上的另一个盒子上运行嗅探器。 不幸的是,该交换机上的所有服务器都是生产服务器…所以我们必须影响其中的一个。 谢谢你的帮助, 理查德
可能重复: 如何在使用Wireshark监视stream量时过滤https? 我想validation我添加到iOS应用的分析包是否正在尝试与分析服务器(我不能控制)进行交谈。 我认为分析包是通过HTTPS进行通信的。 所以我想监视HTTPSstream量(我不在乎解密它…我只是想看看它是否在那里)。 我怎样才能用Wireshark做到这一点? 例如,我目前的Wireshark设置(这只是一个默认的设置)允许我监视stream量到http://www.duckduckgo.com,但不是https://www.duckduckgo.com 。 我需要在Wireshark中更改一些设置吗? 谢谢!
我需要了解SSH密钥交换,我试图阅读RFC文件,但它似乎很难理解,所以我已经捕获使用wireshark数据包,我发现各种数据包的SSH密钥交换 SSHv2 Client: Key Exchange Init SSHv2 Server: Key Exchange Init SSHv2 Client: Diffie-Hellman Key Exchange Init SSHv2 Server: Diffie-Hellman Key Exchange Reply SSHv2 Client: Diffie-Hellman GEX Init SSHv2 Server: Diffie-Hellman GEX Reply SSHv2 Client: New Keys 任何人都可以详细解释我的每个数据包或ssh密钥交换序列?
我希望在自动识别VoIP电话数据包捕获的平均打包时间(ptime)这方面提供一些帮助。 我之所以不依赖于SDP中的值,是因为我使用的一些PBX,不按照200 OK SDP中约定的值发送它们的包。 这导致我不想要的质量问题。 我打算有一个脚本,通过我的pcap文件,并警告我,如果ptime是不是约定。 让我知道如果我必须使自己更清晰 – 任何命令行工具,或任何方法,我可以用来自动化的过程将非常赞赏。 干杯!
我正在处理教会中一个小型networking中令人讨厌的情况,这个networking是我主要的志愿者ITpipe理员,大概有20台电脑。 我们在千兆互联网的家乡查塔努加,所以我们有很多的带宽(100MB的连接)。 根据pfSense仪表板,pfSense硬件是: Intel(R) Atom(TM) CPU D525 @ 1.80GHz 4 CPUs NIC(WAN + LAN)都是千兆端口。 这东西有2GB内存。 我们有一个计算机实验室/课后辅导计划,所以我使用pfSense进行Squid和Squidguard的内容过滤。 一个半星期前,我不知道,另一个IT人员进来,重新安排了一大堆IT设备,把一些东西挂在networking壁橱里,而没有先和我说话。 那恰好是同一个周末,一场大风暴吹响了整个城镇。 从那以后,互联网一直很斑点。 互联网开始放缓,并一直放缓,直到无法使用,然后大多数(如果不是全部)的人报告说,它彻头彻尾的破碎,没有进入外部世界。 由于我不是经常在现场,所以在实际发生的时候,我很难真正解决问题。 这个解决scheme(我不是很喜欢这个解决scheme,但是它可以胜任这个工作)一直是从networking设备(Ubiquiti接入点,Cisco SG-100和ISP设备中的pfSense + 1) ,把所有的东西都插回去,一切都恢复正常。 然而,有时候我可以在现场,我注意到,当互联网出现故障(10.0.0.1)时,我无法ping通网关(pfSense),而我能够ping其他内部设备,例如位于10.0.0.2的打印机。 回顾pfSense仪表板,我从来没有看到stream量变得饱和。 我们有一个100MB的连接,所以有足够的带宽。 现场没有服务器和高带宽应用程序。 对我来说,症状听起来就像生成树问题(我们没有任何智能交换机,尽pipe我在networking的核心部署了一台Cisco SG-100。 我检查了我们所有的交换机(我们在整个build筑物中只有3个 – 没有8个以上的端口),并且跟踪了所有的电缆,确保没有物理环路,并确保交换机没有互相连接多次。 于是我将pfSense硬件从2.1.3升级到2.1.5,并升级了Ubiquiti UniFi无线接入点的全部4个固件。 我也没有连续运行无线控制器,所以我将软件安装到几乎总是开着的员工个人计算机上,以便控制器保持存在。 (如果你对Ubiquiti UniFi有所了解,你不必让控制器持续运行,但我认为它不会受到伤害) 当互联网速度很慢的时候,我在今天早些时候从自己的PC(Ubuntu)上运行了很多的ping命令,但是我看到了很多数据包丢失。 我注意到,因为我会ping一个特定的外部IP地址,一开始就会有很多数据包丢失,但是我让ping运行的时间越长,ping响应就越快(并且更加一致/可靠) 。 回顾防火墙上的代理filterconfiguration,我注意到在代理服务器部分的高速cachingpipe理中,内存高速caching大小是32MB,而RAM中的最大对象大小被设置为64MB。 意识到这可能会导致一个问题,我增加了高达256MB的内存caching大小,并完全closures了硬盘caching。 我希望这会有所帮助,但是我们会在接下来的24-48小时内收看networking。 (更新:这似乎没有帮助,离开5分钟后,我接到一个电话,说我的networking出现故障,于是我回来,用临时的Cisco Linksys路由器换掉了pfSense设备,我们将看到发生)。 是否有任何其他的build议或事情,我应该研究解决这个正在进行的问题? 我以为我的确有一个想法,那就是那个没有先问我的networking设备的人就可能捏住一根电缆。 我把pfSense设备上的电缆换成了局域网,但是这并没有帮助。 另一个想法是,由于风暴,可能会出现某种程度的波动,但networking中的一切都在APC电涌保护器后面。 无论如何,那是什么时候开始的问题。 我有WireShark,但我不完全确定在数据包捕获中要查找什么。 也许一些关于如何处理数据包捕获的指针也会有所帮助。
我需要写一个filter,正确地输出TCP数据包,显而易见的方式,用wireshark写的方式只是tcp但是当我尝试它时,它也显示我也http,tls(据我了解所有依赖于TCP )。 所以我的下一个尝试是tcp && !http && !ssl正在正常工作。 但肯定可以显示一些其他协议,依赖于TCP和不包括在我的! 名单。 什么是仅限于TCP的正确方法? 谢谢大卫·施瓦茨,我的意思是包。 我想达到的目的只是显示来自TCP协议的数据包。 可能是我真的不能expression自己。 我会再次尝试使用图片。 这是我的filtertcp和在列协议见tls和其他东西。 我不想要这样的事情发生。 所以当我使用tcp && !http && !ssl它解决了我的问题,但是还有什么更好的吗?