我正在使用tcpdump来监视openvpn链接tcpdump -i tun5 -w capture.dump -W 100-C 100M -s 0 -n有一个http / xmlstream量通过链接,基本上被封装得很好。 但是,一些软件包包含我不希望的字节。 看到这个例子:
No. Time Source Destination Protocol Length Info 15 0.021249 10.150.1.7 10.150.9.6 TCP 1355 8180 → 53327 [ACK] Seq=32056 Ack=1 Win=513 Len=1315 Frame 15: 1355 bytes on wire (10840 bits), 1355 bytes captured (10840 bits) Raw packet data Internet Protocol Version 4, Src: 10.150.1.7, Dst: 10.150.9.6 Transmission Control Protocol, Src Port: 8180 (8180), Dst Port: 53327 (53327), Seq: 32056, Ack: 1, Len: 1315 0000 45 00 05 4b 6a c8 40 00 7f 06 6c ac 0a 96 01 07 [email protected]..... 0010 0a 96 09 06 1f f4 d0 4f ff 91 41 fc b2 6c 8e b9 .......O..A..l.. 0020 50 10 02 01 8c fc 00 00 65 63 74 65 64 41 72 72 P.......ectedArr 0030 69 76 61 0d 0a 32 30 30 30 0d 0a 6c 54 69 6d 65 iva..2000..lTime 0040 3e 32 30 31 36 2d 30 33 2d 31 31 54 31 33 3a 31 >2016-03-11T13:1 0050 32 3a 34 37 2b 30 32 3a 30 30 3c 2f 45 78 70 65 2:47+02:00</Expe 0060 63 74 65 64 41 72 72 69 76 61 6c 54 69 6d 65 3e ctedArrivalTime> 0070 0a 20 20 20 20 20 20 20 20 20 20 20 20 3c 2f 4f . </O 0080 6e 77 61 72 64 43 61 6c 6c 3e 0a 20 20 20 20 20 nwardCall> [...] 就在一开始,我们用ASCII码:
ectedArriva..2000..lTime> 2016-03-11T13:12:47 + 02:00 ….
这个“.2000 …”或者61 0d 0a 32 30 30 30 0d 0a(hex)不应该在那里。 而且我确信发件人不会发送这个邮件。 任何人都知道这是或可能是什么?
问候Alex
为了logging,这是http / chunkedstream量,我看到的是块头。 在wireshark中打开时,它将把这些包列为重组PDU的TCP分段。 去电话的最后一个包,wireshark将解码我们的HTTPstream量,告诉我们2000 ASCII = 8192(整数),块的大小。 与openvpn无关,而不是一个错误;)
我怀疑1)你的确定性是错误的,2)这个数据包是来自同一连接上同一方向上的早期TCP段的HTTP请求或响应的延续,所以即使它看起来不像由发件人发送,这是发件人发送的内容的一部分 。
尝试为HTTP启用TCP重组,如果它尚未启用。 打开首选项(编辑 – >首选项,如果是OS X上的Wireshark 2.x,Wireshark – >首选项),打开协议,selectTCP,确保选中“允许子分区重组TCPstream”并确保“重新组合跨越多个TCP段的HTTP头”和“重新组装跨越多个TCP段的HTTP主体”都被检查。 然后,它应该重组所有的HTTP请求或响应,包括该文本,并显示为您重组的HTTP请求或响应。