我们正在使用命令行从我们的testing软件中捕获数据包: tshark -V -i vlan2091 -R "bootp.hw.mac_addr contains "00:17:33:00:00:00"" 我们遇到的问题是其中一个DHCP选项以hex显示并缩短。 有没有办法阻止它切断输出? 虽然hex是好的有没有办法让它以ASCII显示? Option: (t=82,l=50) Agent Information Option Option: (82) Agent Information Option Length: 50 Value: 0130535443335F332D4E32354B2D31324D2D51312D535542… Agent Circuit ID: 535443335F332D4E32354B2D31324D2D51312D5355424142… End Option
使用HAProxy跟进有关MongoDB健康检查的问题 如何在HAProxy中构buildMongoDB健康检查? 目前的解决scheme,当重点是确定是否mongo响应,但我试图扩大function来跟踪基于数据库的主要或次要的状态进行跟踪。 我尝试了isMaster的变体,但没有成功。 在mongosniff或wireshark的MongoDB一侧,结果会出现查询parsing错误,并且没有任何响应返回到HAProxy主机。 使用Mongo Wire协议,是否有查询可用来获取给定的MongoDB服务器的状态,而不是只允许跟踪数据库响应的当前解决scheme?
如Title所述,我想检查一下,如果我发送的数据包超出了定义的MTU大小,我的主机是否会发送一个ICMPv6数据包太大。我没有一个cisco路由器(扩展的ping)来testing这个场景,因此,我想从基于Linux / Windows的机器注入消息。 请指导我创build这个场景或者有任何请求和响应的wireshark pcap。
我试图捕获客户端(Windows机器)和服务器之间的HTTPSstream量。 我想这样做之前,stream量encryption,因为我想分析其内容。 有没有一种简单的方法在本地机器上做到这一点? 例如,我可以设置一个本地HTTP代理来实现这个目标吗?
如果tshark -r dumpfile输出包含types[重新组装的PDU的TCP段] ,如 81 3.164109000 4.5.6.7 – > 12.13.14.15 TLSv1.2 609应用程序数据 83 3.164523000 4.5.6.7 – > 12.13.14.15 TCP 2802 [重组PDU的TCP段] 85 3.277723000 4.5.6.7 – > 12.13.14.15 TLSv1.2 4170应用程序数据 很 明显 这 意味着包含一个应用级PDU(在本例中为TLSv1.2)的几个TCP段。 如果从输出中省略(通过进一步处理,f.ex. grep ),跟踪是否仍然包含有关stream的所有信息 ,还是不包含? 换句话说,可以从其余的行(这里是第81行和第85行)看到,有多less数据stream向谁? ( 问题也在ask.wireshark.com )
在研究木马和(RAT)远程访问木马的行为时,出现了这个问题。 攻击者是否可以创build一个可以欺骗操作系统或网卡隐藏与计算机的远程连接的木马,以便像Wireshark或Process黑客这样的工具可以查看诸如主动,监听,已build立连接之类的工具将无法看到远程连接到它,所以攻击者可以做一个隐形的后门? 我知道完成“隐身”的一种方法是使用IPsec对连接进行encryption,因此即使路由器仍然知道它来自哪里,整个数据包有效负载头将“隐藏”其身份,我想知道它是否是有可能build立一个“无形”的Wireshark分析。
我正在尝试使用pcap文件进行stream量捕获。 我从CAIDA(caida.org)网站获得pcap文件。 这pcap文件太大,没有以太网头。 所以我通过使用editcap和使用tcprewrite附加以太网头分割pcap文件到小尺寸(40 MB)。 我使用从PC1到PC2的tcpreplay发送pcap文件stream量。 (PC1和PC2都有debian 8 linux)当我检查从wireshark收到的数据包数据时,数据包计数是好的,但长度太短。 在原来的pcap文件中,长度超过了1500,但是接收到的数据包的最长长度大约是300.我甚至改变了MTU的configuration,但是没有成功。 PS我觉得CAIDA pcap文件有问题。 当我捕获正常的networkingstream量并将其传输到PC2时,没有问题。 所以我想问一个问题。 我如何使这个pcap文件正常工作?
我知道已经有很多类似的问题,但是我已经读完了我能find的所有东西,而且在解决我的具体问题时仍然遇到了麻烦。 问题:我无法将数据传输到外部FTP服务器,但只能从位于DMZ内的服务器上运行的FTP客户端传输数据。 从FTP客户端传输工作正常从我的局域网内的任何机器。 我的环境简要概述: 我有一个Sonicwall SOHO路由器/防火墙,configuration/连接了以下接口: X0:局域网 X1:WAN(单个,来自ISP的静态IP) X2:DMZ(作为Web服务器的一台服务器,FTP服务器连接到此接口) 我对NAT策略很有信心 – 人们可以很好地连接到我的FTP服务器,并且可以从我的DMZ内部连接到其他FTP服务器 – 只有一台特定的服务器存在这个问题。 在将我的防火墙从Cisco SA520升级到Dell Sonicwall SOHO之前,连接用于正常工作。 我还会注意到,虽然我可以连接到其他FTP服务器,但这些服务器以被动模式连接,因此可能是主动模式连接的问题。 目前,问题服务器只接受来自我的IP的主动模式。 我目前的想法是,这是我的一个防火墙问题,但我不明白为什么。 我的防火墙规则很简单: LAN > WAN Allow all DMZ > WAN Allow all WAN > LAN Deny all WAN > DMZ Allow Server Services (HTTP, HTTPS, FTP (All) (TCP 20, 21, 49152 – 65535)) WAN > […]
我想捕获到/来自networking节点的所有stream量。 我不太了解那里的networking设置,下面是我所知道的: 目标节点是一个Linux服务器,它不能访问互联网,只能通过局域网访问。 我只能通过VPN使用Putty访问此服务器。 由于此VPN阻止所有访问互联网,我使用虚拟机来运行VPN客户端。 所以,简而言之:我的物理计算机 – >虚拟机 – > VPN – >目标Linux服务器。 所以,我的问题是:是否有可能使用wireshark捕获到/从这个Linux服务器的stream量? 我使用的是64位Windows 8.1主机和32位Windows XP虚拟机(我也可以使用Windows 7虚拟机,但VPN是在XP上设置的)。
下面的快照捕获包含对Web服务器的单个HTTP请求,其中客户端Web浏览器从服务器请求一些文件,服务器返回包含所请求文件的HTTP / 1.1 200(OK)响应: 这是我的理解! 数据包#4build立连接后,客户端启动推送function,并从服务器发送包含客户端请求文件的有效负载(HTTP请求)! 在服务器端,接收有效载荷,它增加ACK(有效负载大小为207),因此它将变成208。 之后,数据包#7服务器响应所请求的客户端,它发送1368字节的有效载荷。 这发生了两次,我们可以看到seq号码为2737。 如果我错了,请纠正我的问题。 从数据包#9开始 在数据包#9上,序列号如何变为208,ACK = 3680? 客户端有没有转移? 在数据包#11上,如何再次将序号更改为3680和ack = 343。 有人可以帮我解释数据包#9