pcap 文件上的一个简单的 cat 看起来很糟糕:
$cat tcp_dump.pcap
?ò????YVJ?
JJ
?@@.?E<??@@
?CA??qe?U?????h?
.Ceh?YVJ??
JJ
?@@.?E<??@@
CA??qe?U?????z?
.ChV?YVJ$?JJ
?@@.?E<-/@@A?CA??9????F???A&?
.Ck??YVJgeJJ@@.??#3E<@3{n??9CA??P???F???<K?
??`.Ck??YVJgeBB
?@@.?E4-0@@AFCA??9????F?P?????
.Ck???`?YVJ?""@@.??#3E?L@3?I??9CA??P???F?????
???.Ck?220-rly-da03.mx
等等。
我试图让它更漂亮:
sudo tcpdump -ttttnnr tcp_dump.pcap
reading from file tcp_dump.pcap, link-type EN10MB (Ethernet)
2009-07-09 20:57:40.819734 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776168808 0,nop,wscale 5>
2009-07-09 20:57:43.819905 IP 67.23.28.65.49237 > 216.239.113.101.25: S 2535121895:2535121895(0) win 5840 <mss 1460,sackOK,timestamp 776169558 0,nop,wscale 5>
2009-07-09 20:57:47.248100 IP 67.23.28.65.42385 > 205.188.159.57.25: S 2644526720:2644526720(0) win 5840 <mss 1460,sackOK,timestamp 776170415 0,nop,wscale 5>
2009-07-09 …我有一个巨大的 pcap 文件(由 tcpdump 生成)。当我尝试在wireshark中打开它时,该程序没有响应。有没有办法将一个文件分成一组较小的文件以一个一个地打开它们?文件中捕获的流量由两台服务器上的两个程序生成,因此我无法使用 tcpdump 'host' 或 'port' 过滤器拆分文件。我也试过 linux 'split' 命令 :-) 但没有运气。Wireshark 无法识别该格式。
是否有工具可以为每个 TCP 连接将数据包捕获文件(以 pcap 格式)拆分为单独的文件?(除了可能需要在捕获过程中运行两次的本地 shell 脚本......)。类似于wireshark的“跟随TCP流”但对于命令行(我担心wireshark在显示700 MB数据包捕获时会消耗大量内存)
我查看了tcpflow,但它似乎生成的文件比原始 pcap 文件大得多,而且它们似乎不是 pcap 格式。
我有一个网络问题,其中源 MAC 与我的主机的源 MAC 之一匹配的帧到达主机 - 明显的重复 MAC、循环或其他 L2 问题。
我相信这是这种情况,因为我的 linux 网桥的 MAC 表(CAM 表)将本地 MAC(用于托管虚拟机)注册为在上游端口上,并且内核日志显示错误:
bridgename: received packet on bond0.2222 with own address as source address
我想获得有关这些“流氓”数据包/帧的更多详细信息,但我不知道如何将它们归零。使用 tcpdump 您可以过滤特定的源 MAC( 'ether src MAC' ),但这是基于帧中的字节 - 而不是帧是“发送”还是“接收”。我们通常假设带有源 MAC 的帧意味着我们将其发送出去,但如果接收到重复的帧,则过滤器的内容看起来完全相同。
如何观察在数据包捕获中是接收帧还是发送帧?
我正在尝试识别我们网络上的问题用户。ntop 识别高流量和高连接用户,但恶意软件并不总是需要高带宽才能真正搞砸。所以我试图用 snort 进行离线分析(不想用 20 Mbps 流量的内联分析给路由器带来负担)。显然 snort-r为此提供了一个选项,但我无法运行分析。
分析系统是gentoo,amd64,以防万一。我已经使用 oinkmaster 下载了最新的 IDS 签名。但是当我尝试运行 snort 时,我不断收到以下错误:
% snort -V
,,_ -*> Snort! <*-
o" )~ Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.11 2010-12-10
Using ZLIB version: 1.2.5
%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/
(剪辑)
273 out of 1024 flowbits in use.
[ …TCPDump 是否有一个 pcap 过滤器可以过滤零窗口消息?
我知道如何在 Wireshark 显示过滤器 ( tcp.analysis.zero_window) 中过滤这些数据,但我需要处理的数据量很容易使 Wireshark(至少 32 位版本)崩溃,并且分解文件并通过这些捕获是乏味的。
有没有针对 TCP 零窗口消息的捕获过滤器?
根据规范rfc 3315 第 23 页,这似乎是可能的:
摘抄:
IA 中的配置信息由一个或多个 IPv6 地址以及 IA 的时间 T1 和 T2 组成。有关 DHCP 消息中 IA 的表示,请参见第 22.4 节。
然而,我无法配置我的 DHCPv6 客户端以在接口上请求这些多个 IP 地址。
有谁知道如何在 Linux DHCPv6 客户端(最好运行 RedHat 6+、CentOS 6+ 或 Fedora)或 Windows 上执行此操作?
我的最终目标是使用 PCAP 文件进行一些测试。我希望能够自己生成这些文件,但如果我无法配置我的客户端,我想在互联网上找到一些我可以使用的 PCAP 文件。到目前为止,我还没有发现任何东西。
谢谢!
据我了解,对于 IPv4,我需要捕获
对于 IPv6 我需要
我想用 tcpdump 或 wireshark 捕获与 DHCP 相关的流量以供以后分析。
尽管我想让过滤器尽可能具体以获得一个小的捕获文件,但我不想错过一些重要的数据包,比如用于验证 IP 地址尚未被占用的数据包。
我错过了什么吗?
我有一个巨大的 pcap 文件(许多 GB),我无法在wireshark 中加载它。我需要的是从中提取带宽使用信息,包括总的和每个协议的(在传入和传出方向),并可能以管理人员友好的方式绘制它。
本质上,我需要一些可以在命令行上处理 pcap 文件的东西,并以适合可视化或使用 rrdtool 等工具使用的格式输出使用统计信息。欢迎任何建议。
我正在运行 tshark 来转储无线流量。我当前正在多文件模式下运行,将输出分割成 50MB 的块。有没有办法也用 gzip 或 lzma 之类的东西压缩这些 50MB 的块?
我知道在单文件模式下,我可以将输出从 tshark 传输到 gzip,然后传输到 split,但我希望每个 pcap 文件都可以单独读取,而不需要解压缩压缩文件的每个部分。