标签: tcpdump

我测试了一条线路的链接质量iperf。测得的速度（UDP 端口 9005）为 96Mbps，这很好，因为两台服务器都以 100Mbps 的速度连接到互联网。另一方面，数据报丢失率显示为 3.3-3.7%，我发现这有点太多了。使用高速传输协议，我用tcpdump. 比我计算的丢包率 - 平均 0.25%。有没有人解释一下，这个巨大的差异可能来自哪里？您认为可接受的丢包率是多少？

我可以看到我的服务器正在发送大量流量。如果我去 netstat -apln | grep httpd 我可以看到所有流量都流向了一个 IP。

有没有办法可以看到正在使用什么脚本/文件将数据发送到该 IP？或者一般的任何IP？

我知道 tcpdump 可以查看数据包，但似乎无法做到这一点。

我想在 tcpdump 过滤器中指定源 IP 地址、目标 IP 地址和源端口。但是，我不断收到语法错误。我怎么做？

我捕获了一个非常大的 tcpdump 文件，它现在总是使我的wireshark 崩溃。它是在没有过滤器的情况下捕获的，之后我需要应用一些以使文件更小。

这有可能吗？

我在 pcap 文件中使用 tcpdump 捕获了一些数据包。现在我想将这些数据包发送到另一个目的地。我怎么能做到这一点？

我正在使用 TCPDUMP 来捕获来自特定 IP 地址的流量。是否有可能仅捕获新连接，即以 SYN 数据包开头的 TCP 流？

谢谢

我有两个使用 IPSEC-VPN 隧道连接的网段：

• NET#1：带有 LAN 网关 ab0.1 的 ab0.0/16
• NET#2: xy0.0/16 与 LAN 网关 xy130.1

我启动了从 ab0.1 到 xy130.100 的 ping 并启动了 tcpdump。稍后会显示回显回复数据包，但不会显示回显请求数据包。

正常吗？我怎样才能得到回声请求数据包？

这是一个示例测试会话：

平：

# ping x.y.130.100
PING x.y.130.100 56(84) bytes of data.
64 bytes from x.y.130.100: icmp_seq=1 ttl=63 time=1.87 ms
64 bytes from x.y.130.100: icmp_seq=2 ttl=63 time=1.38 ms
64 bytes from x.y.130.100: icmp_seq=3 ttl=63 time=1.27 ms
64 bytes from x.y.130.100: icmp_seq=4 ttl=63 time=3.93 ms
64 bytes from x.y.130.100: icmp_seq=5 ttl=63 time=1.15 ms
64 bytes from x.y.130.100: icmp_seq=6 …

对于排除转储中私有 IP 地址之间的所有流量的通用过滤器，我想出了以下内容：

sudo tcpdump -n '
(not
    (
        (src net 172.16.0.0/20 or src net 10.0.0.0/8 or src net 192.168.0.0/16)
    and
        (dst net 172.16.0.0/20 or dst net 10.0.0.0/8 or dst net 192.168.0.0/16)
    )
) and 
(not
    (
        (dst net 172.16.0.0/20 or dst net 10.0.0.0/8 or dst net 192.168.0.0/16)
    and
        (src net 172.16.0.0/20 or src net 10.0.0.0/8 or src net 192.168.0.0/16)    
    )
)' -w test2.dump

看起来很过分，但它似乎也有效，这个过滤器是否比它需要的时间长得多，并且有更好的方式来表达这个逻辑，或者过滤器有什么问题？

在调试一个似乎无法连接的python irc bot的过程中，我想“我知道，我只是tcpdump它，看看它在做什么。” 所以我像往常一样运行 tcpdump ，它说它捕获了数据包，但实际上并没有写入 cap 文件。

akraut@lance ~/pcaps $ sudo tcpdump -w pyhole -s 0 "port 6667"
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C17 packets captured
17 packets received by filter
0 packets dropped by kernel
4294966881 packets dropped by interface
akraut@lance ~/pcaps $ ls -la
total 8
drwxr-xr-x 2 akraut akraut 4096 Feb  6 11:50 .
drwxr-xr-x 8 akraut akraut 4096 Feb  6 11:50 ..
akraut@lance ~/pcaps $ 

我有一个网络问题，其中源 MAC 与我的主机的源 MAC 之一匹配的帧到达主机 - 明显的重复 MAC、循环或其他 L2 问题。

我相信这是这种情况，因为我的 linux 网桥的 MAC 表（CAM 表）将本地 MAC（用于托管虚拟机）注册为在上游端口上，并且内核日志显示错误：

bridgename: received packet on bond0.2222 with own address as source address

我想获得有关这些“流氓”数据包/帧的更多详细信息，但我不知道如何将它们归零。使用 tcpdump 您可以过滤特定的源 MAC（ 'ether src MAC' ），但这是基于帧中的字节 - 而不是帧是“发送”还是“接收”。我们通常假设带有源 MAC 的帧意味着我们将其发送出去，但如果接收到重复的帧，则过滤器的内容看起来完全相同。

如何观察在数据包捕获中是接收帧还是发送帧？