我的办公室里有一台电脑,总是被病毒感染。 正因为如此,我想使用Wireshark(或者至less是某些东西)来监控这台机器上的互联网stream量。 我怎么能在启动时启动并开始监视,而不用popup用户界面? 我希望能够默默地开始,这样他就不知道我们正在监视他的stream量。 编辑对不起,这是Windows XP。
我在Windows 7 x64上运行Wireshark 1.6.7(最新版本)x64。 这台计算机上只有一个网卡,Wireshark只显示它作为捕获数据包的可用适配器。 如果我build立VPN连接(使用Windows内置的VPN客户端),Wireshark: 没有显示任何额外的适配器来捕获数据包,并 没有看到任何stream经VPN隧道的networkingstream量。 如何在Windows 7上使用Wireshark监视VPN连接上的stream量?
据我所知,对于IPv4我需要捕获 UDP端口67和68, ARP, ICMP回应请求和回复, 和IPv6我需要 UDP端口546和547, 所有与DHCP相关的组播地址, ICMPv6邻居发现。 我想用tcpdump或wireshark捕获与DHCP相关的stream量,以供日后分析。 尽pipe我希望尽可能使滤波器尽可能具体,以获得一个小的捕获文件,但我不想错过一些重要的数据包,比如那些用来validationIP地址还没有被使用的数据包。 我错过了什么吗?
我想testing一些像VoIP。 我想用一些“人造包丢失”来testing。 Wireshark能做到这一点吗? 还是有什么好的解决scheme?
当我通过城域以太网链路传输文件时,我在networking上收到了过多的TCP Dup ACK和TCP快速重传。 这两个站点由一个sonicwall路由器连接,所以站点只有一个跳远。 这里是wireshark的截图, 这里是整个捕捉。 在这个捕获中,客户端是192.168.2.153,服务器是192.168.1.101。这是从我的系统到服务器的一个跟踪路由(ping时间通常在10ms以下): user@pc567:~$ ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:e0:b8:c8:0c:7e inet addr:192.168.2.153 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::2e0:b8ff:fec8:c7e/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:244994 errors:0 dropped:0 overruns:0 frame:0 TX packets:149148 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:319571991 (319.5 MB) TX bytes:12322180 (12.3 MB) Interrupt:16 user@pc567:~$ traceroute -n […]
我正在尝试解决IPSECencryption所有内容的Windowsnetworking上两台服务器之间的通信问题。 我在源服务器上安装了wireshark,并且在通信失败的时候捕获了通信量,但除了一些ARP和DNS数据包以外,捕获的所有内容都是ESP(Encapsultating Security Payload,encryption数据包)encryption数据包。 如果我正在做一个中间人捕捉,我会理解,但是我在源机器上。 有没有一种方法可以指定Wireshark进一步捕获堆栈(解密完成后)? 源机器是W2K8R2作为Hyper-V虚拟机运行。
当我们接到呼叫时,我们的SIP中继线提供商要求我们在networking上运行Wireshark跟踪。 我遇到的问题是,如果我从插入主交换机的笔记本电脑运行Wireshark,我只能看到来自交换机的广播stream量,并且看不到我需要传递给我们的VoIP提供商的呼叫细节。 我们的交换机是美国网件FS728TP 我在混杂模式下运行Wireshark捕获,但我猜这个设置不是在我们的局域网上观看VoIPstream量的正确方法。 哪个选项最适合监控VoIPstream量? 1.将监控笔记本电脑和手机连接到集线器 这似乎是最简单的select,但是从哪里获得一个枢纽,再加上我们的手机是以太网供电? 我可以强制我们的Netgear FS728TP交换机的行为像一个集线器,或者我需要不同地安装Wireshark收集所有数据包? 2.在我们的集团电话和交换机上的电话之间内联使用一个双重电话机 我正在考虑使用内置双网卡的旧式Shuttle计算机来观察所有数据包,并以这种方式进行跟踪,另外,如果我们需要观察networkingstream量,将来会非常有用。 3.购买专用的局域网监控设备 这显然是家庭烘焙class车方法的更快的方法,但我不知道该在这个领域寻找什么。
我想设置一个filter(所以我的日志文件不是巨大的),将只捕获传入的stream量。 我看了http://wiki.wireshark.org/CaptureFilters,但到目前为止一直无法find办法做到这一点。 有谁知道如何? 就像一个侧面的问题一样,当在Wireshark中login到多个文件时,以后可以查看完整的数据包信息吗?
我想在我的应用程序中寻找降低数据传输速率的原因。 我有12个embedded式系统和一个Linux服务器。 embedded式系统通过交换机在以太网链路上通过TCP发送数据到服务器。 以下是Wireshark捕获一个板卡上的stream量的TCP StreamGraph。 正如你所看到的,数据传输发生在大约5.8MBit / s直到大约0.25秒。 这与我所预期的embedded式系统一样快。 在此之后,延期被插入转移。 以下显示了该图的一个特写: 标有ACK的底部的阶梯形曲线显示服务器在任何给定时间已经确认了多less数据。 标有RWIN的相应曲线显示了数据卡上的缓冲区有多less空间。 标记为“发送数据”的较小垂直段是实际发送的数据包。 在A点,服务器以尽可能快的速度发送数据,但是持续23ms,服务器不会发送数据。 允许embedded式系统在不等待ACK的情况下发送RWIN,但是它不这样做,因为它需要保持发送的数据,直到它们被发送(如果需要重新发送),发送缓冲区空间是有限。 然后,在B点,所有接收到的数据立即被确认,正常的确认和发送恢复2.5ms,然后再发生一次暂停。 Wireshark捕获是由一台不同的PC机完成的,该PC连接到交换机上的一个端口,该端口被设置为镜像在embedded式系统所连接的端口上发送和接收的所有数据。 Linux服务器运行一个Java应用程序来处理数据并将它们存储在磁盘上。 它没有显示已经超出了CPU的迹象。 操作系统是具有默认networking设置的Ubuntu Server 12.04。 我可以看到,我可能会从在embedded式系统中分配更多的发送缓冲区空间中获益,以匹配Linux服务器中的接收窗口空间量,但这似乎并不是限制因素。 我的问题是: 什么可能是Linux服务器暂停ACK的原因,即使它显然能够收到的一切就好了? 我怎么去debugging呢?
Wireshark能够解密IKEv2,如果你selectPreferences,selectISAKMP,它提供一个IKEv2解密表,它需要发起者和响应者的SPI,encryption和authentication密钥(SK_ei,SK_er,SK_ai,SK_ar)以及encryption和authenticationalgorithm。 所有这些使用Strongswan的charondebugging日志都是可用的。 我有一个工作IKEv2 SA,可以传输ESPstream量。 然而,每次我尝试使用Wireshark解密时,都会产生不连贯的解密结果,例如包含166字节的数据包中的65000字段长度,并报告畸形数据包。 我也无法解密ESP数据包。 谷歌search说这是可能的,只是使用“IP xfrm状态”的信息,但Wireshark或者解密没有或者再次产生无效的结果。 显然我错过了什么,有没有人做到这一点? 我在Ubuntu 12.04上使用Wireshark 1.8.3,StrongSwan 5.0.1。 谢谢,RichK