标签: tcpdump

所以这里我们有一个例子来说明为什么谷歌害怕......要求谷歌找到“什么是tcpdump咒语来嗅探/过滤仅用于ddns更新数据包”的具体配方最终得到了十亿页与不相关的内容我对什么感兴趣...不过有很多关于设置 dns 服务器的内容。

所以...

任何人都知道您用于仅捕获动态 dns 更新数据包的特定 tcpdump 过滤器吗？

Wireshark 和 tcpdump 似乎都可以识别 ddns 更新数据包，（我使用的是来自wireshark wiki 的带有 ddns 更新数据包的 wireshark 示例 pcap 文件）。所以，至少我可以过滤端口 53 的流量，但是在这个链接上，这将是一个度量标准的流量。

谢谢！很抱歉问一个101类型的问题...

我正在尝试获取某些 http 请求的 tcpdump 跟踪。

这是我到目前为止得到的（我用 REMOTE 和 LOCAL 替换了真实的 IP 地址）：

C:\>Windump -na -i 3 ip host REMOTE and ip src LOCAL and tcp port 80
Windump: listening on \Device\NPF_{8056BE5E-BDBB-44E6-B492-9274B410AD66}
13:13:34.985460 IP LOCAL.4261 > REMOTE.80: . 1784894764:1784894765(1) ack 1268208398 win 65535
13:13:38.589175 IP LOCAL.4302 > REMOTE.80: F 3708464308:3708464308(0) ack 982485614 win 65535
13:13:38.589285 IP LOCAL.4303 > REMOTE.80: F 890175362:890175362(0) ack 2462862919 win 65535
13:13:38.589330 IP LOCAL.4304 > REMOTE.80: F 1838079178:1838079178(0) ack 156173959 win 65535
13:13:38.589374 IP LOCAL.4305 > REMOTE.80: …

Run Code Online (Sandbox Code Playgroud)

我有一台在 VMWare 虚拟机中运行 Red Hat 6.3 Enterprise 的服务器。服务器和 Internet 之间有一个瞻博网络 SSG 5 防火墙。我正在尝试诊断 DNS 查找超时的情况，但恐怕我没有这样做所需的知识。

这是我执行以下操作时 tcpdump 的输出$ wget www.google.com.br：

$ tcpdump -i eth0 -n -vvv 不是端口 ssh

14:15:15.361010 IP (tos 0x0, ttl 64, id 8975, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.12.54835 > 200.196.66.30.domain: [bad udp cksum f4e1!] 47797+ A? www.google.com.br。(35)
14:15:15.361195 IP (tos 0x0, ttl 64, id 8976, offset 0, flags [DF], proto UDP (17), length 63)
    192.168.1.12.54835 > 200.196.66.30.domain: [bad udp cksum …

我在我的 nginx 服务器 (centOS) 上运行的 php 应用程序上执行 CURL 命令。端点是一个 https 地址，因此传出流量当然是加密的。

我想查看使用tcpDump嗅探传出流量的实际发送到端点的网络数据包。但这样做的结果只是一堆加密数据。

有没有办法在加密之前查看这些数据包？

一旦我知道了 IP 地址和端口号组合，我就可以运行它来查看一些数据包：

tcpdump | grep [IPADDRESS]

有人知道我现在如何也能看到原始数据包吗？

谢谢！

我想处理通过我们的网关服务器（运行 Debian 4.0）的所有数据包。

我的想法是使用tcpdump，但是我有两个问题。
我目前想到的命令是tcpdump -i iface -n -t -q.

1. 是否保证 tcpdump 会处理所有数据包？如果 CPU 满负荷工作会发生什么？
2. 输出行的格式是IP ddd.ddd.ddd.ddd.port > ddd.ddd.ddd.ddd.port: tcp 1260. 1260究竟是什么？我怀疑它是以数据包的字节为单位的有效载荷，这正是我需要的，但我不确定。它可能是 TCP 窗口大小。

或者也许有更好的方法来做到这一点？我想到了iptables中的LOG规则，但是tcpdump似乎更容易，我不知道iptables是否可以记录数据包长度。

更新：

它现在在 IpTables 中实现。对每个网段使用单独的链，我有一个深度为 3 的树。

机器软中断负载比较高，尤其是晚上（我们大部分用户都在线的时候），但是到现在还可以接受。

感谢您的输入。

我在一个棘手的服务器上遇到了很多问题。

目前我的主要问题之一是 tcpdump 似乎无法将数据包发送到 mysql，除非我稍微修改一下 MySQL。

这是我运行的：

tcpdump -s 65535 -x -nn -q -tttt -i any -c 99999 端口 3306

当我运行它时，没有显示任何输出。

但是，如果我使用登录到 mysql

mysql -h 127.0.0.1

..然后 tcpdump 确实显示了一些输出。

我的问题是来自 apache 的当前流量没有使用 tcpdump 显示，我不知道是否需要更改 tcpdump、MySQL 或 apache 中的参数。

更多信息：

netstat -tap | mysql

tcp        0      0 *:mysql   *:*                         LISTEN      2238/mysqld

猫 /etc/hosts

127.0.0.1               localhost localhost.localdomain

有人可以帮忙吗？

我试图阻止网络服务器对 DNS 服务器进行 IPv6 查找 (AAAA)。网络服务器在接口上没有设置 IPv6 地址。在 sysctl.conf 中禁用 IPv6 也没有影响，网络服务器不断向 DNS 服务器发送对每个主机名的 A 和 AAAA 请求（我执行了 tcpdump）。

任何人都可以帮助我停止网络服务器发送 IPv6 主机名查找吗？

额外信息：
这是在我的内部网络上。TCP转储：

webserver.internal.43831 > internaldns.internal.domain: [bad udp cksum 629d!] 63585+ A? someserver.internal. (43)`  
webserver.internal.43831 > internaldns.internal.domain: [bad udp cksum 32dd!] 40337+ AAAA? someserver.internal. (43)

internaldns 返回 A 记录的 IP 和 AAAA 的 NXDOMAIN，因为没有设置。

尽管主机应该处于空闲状态，但我还是看到了大量的网络流量。当我做

tcpdump -nni eth0 not net 10.10.10.10/32

我得到很多这些

14:36:07.851048 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from xx:xx:xx:xx:xx:xx, length 300

题

端口 67 用于 DHCP 请求。具有划掉 MAC 地址的主机发出如此多的请求可能是什么原因？

一个 tcpdump pcap 导出并在另一台带有 wireshark 的机器上被调查显示出很多无效的 TCP 校验和消息。这是使用 TCP 卸载功能时已知并记录在案的现象：https : //wiki.wireshark.org/TCP_Checksum_Verification

唯一不清楚的是为什么校验和不正确？

TCP 校验和是在伪标头的帮助下在整个 TCP 段上计算的，并在校验和计算过程中使用全零的临时校验和值 ( http://www.tcpipguide.com/free/t_TCPChecksumCalculationandtheTCPPseudoHeader-2.htm#图_218）。然后丢弃伪标头。差异体现在哪里？

我有一个 OpenVPN 服务器和两个客户端，

我可以互相 ping 客户端，但是当我这样做时，我在服务器上看不到任何使用 tcpdump 的数据包

服务器

正在 192.168.0.1 上运行

我尝试使用捕获流量tcpdump -i tun0 icmp --immediate-mode -l -n

客户

正在 192.168.0.2 上运行

我可以 ping client2 ping 192.168.0.3，结果很好：

PING 192.168.0.3 (192.168.0.3) 56(84) bytes of data.
64 bytes from 192.168.0.3: icmp_seq=1 ttl=128 time=32.4 ms

TCP 转储

但我从 tcpdump 中看不到任何内容：

0 packets captured
0 packets received by filter
0 packets dropped by kernel

虽然如果我直接 ping openvpn 服务器ping 192.168.0.1，我可以看到那里捕获的数据包：

18:05:04.022747 IP 192.168.0.2 > 192.168.0.1: ICMP echo request, id 5, …

我的 IP 被配置为 192.168.101.91，我不明白为什么我的主机正在接收目标地址为 192.168.87.203（以及我没有捕获的许多其他 IP）的数据包，因为我已经关闭了我的 KVM 并且禁用ip转发。TCP/IP 不应该过滤这些数据包吗？

我在 PLC 中运行运行时 Linux。我的开发机器运行的是 Ubuntu 14.04。PLC和开发机通过一个五口交换机连接。我从我的开发机器 ssh 到 PLC，以传输我在我的开发机器上开发的网络应用程序的可执行文件。

我在 PLC 上运行 tcpdump 来调试我的网络应用程序正在接收的数据包类型，但是一旦我启动 tcpdump，就会开始大量的 ssh 同步和 acks 从我的 ubuntu 机器到 PLC 来回发送。PLC 的以太网控制器的 LED 灯以及开关上的 LED 灯开始快速闪烁。洪水淹没了 PLC，它几乎消失了，而所有其他数据包都被丢弃了。每当我运行 tcpdump 时，感觉就像是一次 DOS 攻击，但是一旦我停止 tcpdump，一切都会平静下来并恢复正常。

我想知道解决这个问题的方法以及它为什么会发生？

任何帮助，将不胜感激。